XSS 自动化检测 Fiddler Watcher & x5s & ccXSScan 初识

 一、标题：XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan 初识     automated XSS testing assistant

 

二、引言

Google大神告诉我，Watcher  &  x5s 这两插件技术文章非常稀有，《XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan初识》

整篇文章讲的就是初识两工具，并记录安装使用的过程记录！深入还有待完善.....

三、Before

3.1 关于XSS自动化检测的那些事

在wooyun上学习心伤的瘦子 [腾讯实例教程] 那些年我们一起学XSS。看到有xss扫描神器（谣传有此神器，未见其实，大帽没share o(╯□╰)o）

(力荐学XSS Bypass的两大正营：1.二哥的XSS教学 - by gainover 2.心伤的瘦子 [腾讯实例教程] 那些年我们一起学XSS)

&且在y35u那里知道的DoMinator神器(mindedsecurity,有点伤感“囧”只用了15天，破解方法不成功)

 

DOMinator不能用之后，在网上见到许多有XSS扫描工具，像BurpSuite有自动化扫描插件 BurpSuite_DOMxss_scanners插件 

有兴趣请跳转到http://www.3hack.com/tools/BurpSuite_DOMxss_scanners%E6%8F%92%E4%BB%B6.txt 

【需求】迫切需找一个神器能自动扫描检测XSS,绝非用Nessus、Paros等整站扫描性质的。

源于看了这篇文章：11个免费的Web安全测试工具 ，Fiddler 神器居然也有XSS扫描插件(推测Charles应该也有...)。

so...今天重点是：

1.Watcher

2.x5s

3.ccXSScan

 

四.故事Ing

4.1 Watcher  &  x5s 初识

【Luolired】网上太多这样的文绉绉介绍，略晓即可,技术使用细节教程几乎没有，第一步需要的就是汉化doucment。

A)Watcher - Passive Security Auditor

Watcher is a runtime passive-analysis tool for Web applications. It detects Web-application security issues as well as operational configuration issues. Watcher provides pen-testers hotspot detection for vulnerabilities, developers quick sanity checks, and auditors PCI and OWASP compliance auditing. 

It looks for issues related to mashups, user-controlled payloads (potential XSS), cookies, comments, HTTP headers, SSL, Flash, Silverlight, referrer leaks, information disclosure,

 Unicode, and more.  Learn more...

Watcher是一个实时的基于HTTP的web应用程序被动分析工具。被动意味着它不会对系统造成破坏，它可以十分安全的用于云计算机、共享主机和托管主机环境。

Watcher即能够

检测web应用程序安全问题还能够监测业务配置问题。Watcher能够为渗透测试人员提供热点漏洞检测，

包括Xss，cookies,comments,http响应头，SSL，Flash, Silverlight，referrer泄露，信息泄露和Unicode等可能存在的问题。

Watcher更新至1.5.2版

B)x5s - Automated XSS Security Testing Assistant

x5s aims to assist penetration testers in finding cross-site scripting vulnerabilities. It's main goal is to help you identify the hotspots where XSS

might occur by:

• Detecting where safe encodings were not applied to emitted user-inputs

• Detecting where Unicode character transformations might bypass security filters

• Detecting where non-shortest UTF-8 encodings might bypass security filters

Learn more...

x5s 发布-自动化的XSS安全性辅助测试工具

x5s是Fiddler的一个插件 ,旨在帮助渗透测试人员发现跨站脚本漏洞，它的主要目标是帮助你找出可能出现的跨站脚本的关键点。

关键点包括：

检测对于用户提交的输入安全编码不适用的情况检测Unicode 字符转换可能绕过安全过滤系统的情况。

检测non-shortest UTF-8 编码可能绕过安全过滤系统的情况

 

C)ccXSScan

ccXSScan看这篇文章：

ccXSScan for Fiddler--会浏览网页就会挖XSS!!!

4.2 Installation and quickstart

注意：

1.X5S安装需要dotNetFx35setup.exe Microsoft .NET Framework 3.5 Setup(别下载到了Microsoft .NET Framework 3.5 sp1)

2.都是把.dll插件放到Fiddler2安装目录的Scripts文件夹当中(如:D:Program FilesFiddler2Scripts),重新启动Fiddler2即可使用

如遇卸载，则到Scripts文件夹下Del .dll 或重新安装软件有选项修复还是移除。

4.3 Use

注意：

1、使用环节参考具体的说明文档documentation

Watcher  http://websecuritytool.codeplex.com/documentation

X5s        http://xss.codeplex.com/documentation

囧 翻译不是很精准，还是各自看吧，你比我看得懂。第一个汉化的“吃螃蟹人就是你，发表出来吧”

2.提醒 在Enable 设置好后,Test Case Configuration下的Character 列务必勾选呀！

4.5 测试使用结果

测试结果，都能找到XSS,但总感觉不是那么爽，费些周折，你自己试试咯。

A)Watcher

B）X5S

C）ccXSScan 

只到了step1,完全不知道怎么将检测分析后的URL，跳到step2.晕+_+

《ccXSScan 只要会浏览网页，就会挖XSS漏洞！！！ 》图2--->图3

大大知道的tell me!

4.6 Error  端口重用

你改了Fiddler的端口port，还不一定能用！so明确的解决方法步骤，暂时还没有...

五、总结

【Luolired】

1.比较欣赏Watcher 它的Result安全等级分类信息不错！和DOMinator 具体细节描述有得一拼。源于有OWASP 漏洞细节支持。

2.还是商业的DOMinator 符合我的口味，浏览网页就能实时同步检测出XSS！上面的XSS自动化检测工具，只是抛砖引玉，初识。

都还不成熟，只为进一步推动国人在XSS自动化检测挖掘，OWASP工具教程细节汉化多多地来。

 

DOM XSS Scanner - Find DOM based XSS Security Vulnerabilities

 

1. https://github.com/yaph/domxssscanner

2. http://code.google.com/p/ra2-dom-xss-scanner/

3. http://code.google.com/p/domxsswiki/wiki/Introduction