OWASP出品：Xenotix XSS漏洞测试框架及简单使用

OWASP Xenotix XSS Exploit Framework是一个高效的跨站脚本漏洞（XSS）检测和攻击测试框架。它通过特有的三大浏览器引擎（包括Trident, WebKit和Gecko）进行安全扫描检测，并且其号称拥有全世界第二大的XSS测试Payload，同时具有WAF绕过能力。

扫描模块

Manual Mode Scanner

Auto Mode Scanner

DOM Scanner

Multiple Parameter Scanner

POST Request Scanner

Header Scanner

Fuzzer

Hidden Parameter Detector

信息采集模块

Victim Fingerprinting

Browser Fingerprinting

Browser Features Detector

Ping Scan

Port Scan

Internal Network Scan

攻击测试模块

Send Message

Cookie Thief

Phisher

Tabnabbing

Keylogger

HTML5 DDoSer

Executable Drive By

JavaScript Shell

Reverse HTTP WebShell

Drive-By Reverse Shell

Metasploit Browser Exploit

Firefox Reverse Shell Addon (Persistent)

Firefox Session Stealer Addon (Persistent)

Firefox Keylogger Addon (Persistent)

Firefox DDoSer Addon (Persistent)

Firefox Linux Credential File Stealer Addon (Persistent)

Firefox Download and Execute Addon (Persistent)

附加工具

WebKit Developer Tools

Payload Encoder

下载地址

https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framework&setlang=es

 

二：使用Xenotix_XSS框架进行自动化安全测试

 

配置服务器：

点击"setting—>configure server—>start"，服务器就配置完成。

扫描测试

scanner里面的"get request manualmode"是手动测试，即每次点击start的时候，只会执行一个payload，而"get request auto mode"是自动测试，设置时间间隔，就可以自动扫描。每次扫描的结果会在下面的三个浏览器中显示结果。

URL填写要测试的页面，parmeter填写"参数=",测试时完整的URL可以在Browse处看到。

手动测试：

 

自动测试：

自动模式，在Inteval中设置时间间隔，然后点击start开始测试，可以点击pause暂停

   

多参数测试multiple parameter scanner：

点击"get parameters"会自动识别出URL中的多个参数，设置时间间隔后，点击start会逐个对每次参数进行测试。

URL fuzzer：

将需要fuzz的参数值修改为" [X]",然后工具会对设置了[X]的参数进行测试

POST request scanner：

URL填写要测试的页面

Parameters填写POST的参数，参数值用[X]代替，response会在页面和postresponse body里面显示。

request repeater：

repeater里面支持get、post和trace方法，同样的，将HOST填写地址，path填写路径，参数值用[X]代替，start开始扫描

DOM SCAN：

个人写了几个DOM脚本，结果都没扫描到。。。没法截图了

   

隐藏表单检测：hidden parameter detector

很明显，就是检测html中的隐藏表单。

在tool下面的encode/decode工具也是比较常用的,不过编码不是太多: