Joa*_*uer 12 xss security-testing
我最近在一个将XSS攻击直接写入数据库的工具上找到了这个博客条目.它看起来像是一种非常好的方法来扫描应用程序中的应用程序中的弱点.
我试图在Mono上运行它,因为我的开发平台是Linux.不幸的是,它System.ArgumentNullException内部崩溃,Microsoft.Practices.EnterpriseLibrary我似乎无法找到有关该软件的足够信息(它似乎是一个单一项目,没有主页,没有进一步的开发).
有人知道类似的工具吗?最好是:
编辑:我想澄清一下我的目标:我想要一个直接将成功的XSS/SQL注入攻击结果写入数据库的工具.我的想法是,我想检查我的应用程序中的每个位置是否都正确输出编码.首先检测并避免数据到达那里是完全不同的事情(当我显示由第三方应用程序写入数据库的数据时可能无法实现).
编辑2: Corneliu Tusnea,我上面链接的工具的作者,后来在codeplex上发布了免费软件工具:http://xssattack.codeplex.com/
我认为metasploit 具有您正在寻找的大部分属性。它甚至可能是唯一一个拥有您指定的所有内容的软件,因为我能想到的所有其他软件都是闭源的。有一些现有的模块可以处理 XSS,您尤其应该看一下:HTTP Microsoft SQL 注入表 XSS 感染。从该模块的声音来看,它完全能够完成您想做的事情。我相信该框架是用 Ruby 编写的,并且应该很容易使用您可能需要/想要执行的模块进行扩展。我希望这有帮助。