XSS Rays – браузер как сканер XSS

Небезызвестный Gareth Heyes сегодня опубликовал свою новую утилиту для сканирования сайтов на наличие XSS. Особенность его разработки заключается в том, что процесс сканирования производится браузером атакующего при помощи javascript. Алгоритм довольно прост: javascript-код рекурсивно собирает все ссылки и формы со страниц сайта и проводит различные тесты, используя встроенную базу векторов. XSS Rays способен совершать кроссдоменные вызовы благодаря использованию тэгов iframe вместо AJAX. Для логирования результатов сканеру требуется локальный веб-сервер с PHP. Реализация сканера в контексте браузера, по словам разработчика, способствует повышению точности и качества конечного результата, хотя ложные срабатывания не исключены. Для использования XSS Rays необходимо лишь открыть страницу http://localhost/XSS_Rays/helpers/bookmarklet.html и сохранить ссылку в закладки. Сканирование сайта производится по клику на букмарклет и нажатию на CTRL+SHIFT+X.
XSS Rays

Join the Conversation

8 Comments

  1. Чего только не делают мастера =). Очень заинтересовало, спасибо. Надо будет взглянуть на реализацию.

  2. Крутая утила, правда не для рядового юзвера

  3. хм.. видел плугин для огнелиса- нечто похожее.

  4. Хм… Приятная утилита, поможет немного сократить ручной труд, может быть. Но на деле пока ничего не нашла из проектов, которыми занимался. Причем ручным аудитом с головой XSS находились…

  5. Киньте утилиту, а то по старой ссыли на 404 зовет
    аська для конеекта 958614
    заранее спасибо.

Leave a comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.