使用Xenotix_XSS框架进行自动化安全测试

作者 0xExploit

本文简单的介绍Xenotix_XSS框架常用的xss测试自动测试工具，可以用于对页面进行自动安全扫描。

配置服务器：

点击“setting—>configure server—>start”，服务器就配置完成。

扫描测试

scanner里面的”get request manualmode”是手动测试，即每次点击start的时候，只会执行一个payload，而”get request auto mode”是自动测试，设置时间间隔，就可以自动扫描。每次扫描的结果会在下面的三个浏览器中显示结果。

URL填写要测试的页面，parmeter填写”参数=”,测试时完整的URL可以在Browse处看到。

手动测试：

自动测试：

自动模式，在Inteval中设置时间间隔，然后点击start开始测试，可以点击pause暂停

多参数测试multiple parameter scanner：

点击”get parameters”会自动识别出URL中的多个参数，设置时间间隔后，点击start会逐个对每次参数进行测试。

URL fuzzer：

将需要fuzz的参数值修改为” [X]”,然后工具会对设置了[X]的参数进行测试

POST request scanner：

URL填写要测试的页面

Parameters填写POST的参数，参数值用[X]代替，response会在页面和postresponse body里面显示。

request repeater：

repeater里面支持get、post和trace方法，同样的，将HOST填写地址，path填写路径，参数值用[X]代替，start开始扫描

DOM SCAN：

个人写了几个DOM脚本，结果都没扫描到。。。没法截图了

隐藏表单检测：hidden parameter detector

很明显，就是检测html中的隐藏表单。

在tool下面的encode/decode工具也是比较常用的,不过编码不是太多: