Categories
News

XSS Rays – браузер как сканер XSS

Небезызвестный Gareth Heyes сегодня опубликовал свою новую утилиту для сканирования сайтов на наличие XSS. Особенность его разработки заключается в том, что процесс сканирования производится браузером атакующего при помощи javascript. Алгоритм довольно прост: javascript-код рекурсивно собирает все ссылки и формы со страниц сайта и проводит различные тесты, используя встроенную базу векторов. XSS Rays способен совершать кроссдоменные вызовы благодаря использованию тэгов iframe вместо AJAX. Для логирования результатов сканеру требуется локальный веб-сервер с PHP. Реализация сканера в контексте браузера, по словам разработчика, способствует повышению точности и качества конечного результата, хотя ложные срабатывания не исключены. Для использования XSS Rays необходимо лишь открыть страницу http://localhost/XSS_Rays/helpers/bookmarklet.html и сохранить ссылку в закладки. Сканирование сайта производится по клику на букмарклет и нажатию на CTRL+SHIFT+X.
XSS Rays

8 replies on “XSS Rays – браузер как сканер XSS”

Чего только не делают мастера =). Очень заинтересовало, спасибо. Надо будет взглянуть на реализацию.

Крутая утила, правда не для рядового юзвера

хм.. видел плугин для огнелиса- нечто похожее.

Хм… Приятная утилита, поможет немного сократить ручной труд, может быть. Но на деле пока ничего не нашла из проектов, которыми занимался. Причем ручным аудитом с головой XSS находились…

Киньте утилиту, а то по старой ссыли на 404 зовет
аська для конеекта 958614
заранее спасибо.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.