使用Xenotix_XSS框架进行自动化安全测试

作者 0xExploit

本文简单的介绍Xenotix_XSS框架常用的xss测试自动测试工具,可以用于对页面进行自动安全扫描。

配置服务器:

点击“setting—>configure server—>start”,服务器就配置完成。

扫描测试

scanner里面的”get request manualmode”是手动测试,即每次点击start的时候,只会执行一个payload,而”get request auto mode”是自动测试,设置时间间隔,就可以自动扫描。每次扫描的结果会在下面的三个浏览器中显示结果。

URL填写要测试的页面,parmeter填写”参数=”,测试时完整的URL可以在Browse处看到。

手动测试:

自动测试:

自动模式,在Inteval中设置时间间隔,然后点击start开始测试,可以点击pause暂停

多参数测试multiple parameter scanner:

点击”get parameters”会自动识别出URL中的多个参数,设置时间间隔后,点击start会逐个对每次参数进行测试。

URL fuzzer:

将需要fuzz的参数值修改为” [X]”,然后工具会对设置了[X]的参数进行测试

POST request scanner:

URL填写要测试的页面

Parameters填写POST的参数,参数值用[X]代替,response会在页面和postresponse body里面显示。

request repeater:

repeater里面支持get、post和trace方法,同样的,将HOST填写地址,path填写路径,参数值用[X]代替,start开始扫描

DOM SCAN:

个人写了几个DOM脚本,结果都没扫描到。。。没法截图了

隐藏表单检测:hidden parameter detector

很明显,就是检测html中的隐藏表单。

在tool下面的encode/decode工具也是比较常用的,不过编码不是太多:

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-09-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏吴伟祥

Linux系统关机过程 原

最常用的Linux关机命令用init、shutdown、halt和reboot等。这些命令都可以达到关机重启的目的,但是每个命令的内部工作过程是不同的。下面就详...

15610
来自专栏晓晨的专栏

Jenkins 无法捕获构建脚本错误问题

编写构建脚本执行,发现脚本执行出错,不会中断构建过程,导致最后展现的构建结果是错误的。

12810
来自专栏Ryan Miao

Linux安装配置tomcat

1.首先配置好jdk 查看java版本:java -verson 1.官网下载jdk 2.tar -zxvf xxxx.tar.gz   解压 3.配置环境变量...

38980
来自专栏杨龙飞前端

eclipse如何安装插件

17130
来自专栏魏艾斯博客www.vpsss.net

lnmp 环境 ftp 客户端看不到文件

40220
来自专栏老安的博客

zabbix 监控percona

16330
来自专栏码农笔录

Git使用教程-idea系列(idea、webstorm、phpstorm、androidstudio)中git使用教程

26330
来自专栏黑泽君的专栏

映射重复导致的错误:Ambiguous handler methods mapped for HTTP path

  出现Ambiguous Mapping异常时,找到同一请求路径映射到两个方法的地方,修改即可。使这两个方法有区分即可。注意:要一并修改对应的jsp上的请求路...

38310
来自专栏栗霖积跬步之旅

异常:org.springframework.http.converter.HttpMessageNotReadableException

spring(springboot、springmvc)出现标题的异常一般是由于controller的入参失败引起的。

56540
来自专栏深度学习之tensorflow实战篇

查找python项目依赖并生成requirements.txt与安装,指定路径

Python项目中必须包含一个 requirements.txt 文件,用于记录所有依赖包及其精确的版本号。以便新环境部署。 我的是python -m 指...

48160

扫码关注云+社区

领取腾讯云代金券