ra2-dom-xss-scanner,待发掘的xss神器
程序员文章站
2022-03-05 16:09:54
偶然间遇到了这个工具,工具的编写者貌似是印度雅虎公司的一个安全工程师.在youtube上看到了他的演讲视频(http://www.youtube.com/watch?v=WOn5V0X8TdY...
偶然间遇到了这个工具,工具的编写者貌似是印度雅虎公司的一个安全工程师.在youtube上看到了他的演讲视频(http://www.youtube.com/watch?v=WOn5V0X8TdY)后便想试试.
ra2-dom-xss-scanner的项目地址: http://code.google.com/p/ra2-dom-xss-scanner/
测试环境(firefox 17.0.1, wamp ,win7 64bit)
首先我们要下三个文件:
Ra.two.xpi:
http://code.google.com/p/ra2-dom-xss-scanner/downloads/detail?name=ra.two.xpi&can=2&q=
Vectors.zip: http://code.google.com/p/ra2-dom-xss-scanner/downloads/detail?name=vectors.zip&can=2&q=
Reporting-tool.zip
http://code.google.com/p/ra2-dom-xss-scanner/downloads/detail?name=reporting-tool.zip&can=2&q=
下好之后便开始安装工作ra.two.xpi是火狐插件直接拖进火狐就可以安装.
Vectors.zip中是xxs测试语句需要解压到c:\xss下.
reporting-tool.zip中是报告生成相关的文件,解压后可以到有个db_schema.sql文件
我们需要在本地数据库中新建一个xss的数据库.然后将这个db_schema.sql导入到其中.
导入成功后再把reporting-toll文件夹中的xss文件夹放入到本地服务器www目录下.
之后便可以在火狐中使用这个插件进行常规扫描工作了.
这里用phpcms v9 的xss 做演示.打开链接后选择scan this url.然后便开始了正常的扫描工作.
扫描完成后便会自动打开summary.php生成的报告. www.2cto.com
点击任意结果后还可以打开该链接进行手工测试.
额 使用完第一感觉就是麻烦,你是不是也这么认为呢? 我想我这个介绍只能算是皮毛而已.如果感兴趣.可以自己再深入的探索一下.
Over
ra2-dom-xss-scanner的项目地址: http://code.google.com/p/ra2-dom-xss-scanner/
测试环境(firefox 17.0.1, wamp ,win7 64bit)
首先我们要下三个文件:
Ra.two.xpi:
http://code.google.com/p/ra2-dom-xss-scanner/downloads/detail?name=ra.two.xpi&can=2&q=
Vectors.zip: http://code.google.com/p/ra2-dom-xss-scanner/downloads/detail?name=vectors.zip&can=2&q=
Reporting-tool.zip
http://code.google.com/p/ra2-dom-xss-scanner/downloads/detail?name=reporting-tool.zip&can=2&q=
下好之后便开始安装工作ra.two.xpi是火狐插件直接拖进火狐就可以安装.
Vectors.zip中是xxs测试语句需要解压到c:\xss下.
reporting-tool.zip中是报告生成相关的文件,解压后可以到有个db_schema.sql文件
我们需要在本地数据库中新建一个xss的数据库.然后将这个db_schema.sql导入到其中.
导入成功后再把reporting-toll文件夹中的xss文件夹放入到本地服务器www目录下.
之后便可以在火狐中使用这个插件进行常规扫描工作了.
这里用phpcms v9 的xss 做演示.打开链接后选择scan this url.然后便开始了正常的扫描工作.
扫描完成后便会自动打开summary.php生成的报告. www.2cto.com
点击任意结果后还可以打开该链接进行手工测试.
额 使用完第一感觉就是麻烦,你是不是也这么认为呢? 我想我这个介绍只能算是皮毛而已.如果感兴趣.可以自己再深入的探索一下.
Over
上一篇: myeclipse6.5 安装svn插件