XSS Rays – браузер как сканер XSS

Небезызвестный Gareth Heyes сегодня опубликовал свою новую утилиту для сканирования сайтов на наличие XSS. Особенность его разработки заключается в том, что процесс сканирования производится браузером атакующего при помощи javascript. Алгоритм довольно прост: javascript-код рекурсивно собирает все ссылки и формы со страниц сайта и проводит различные тесты, используя встроенную базу векторов. XSS Rays способен совершать кроссдоменные вызовы благодаря использованию тэгов iframe вместо AJAX. Для логирования результатов сканеру требуется локальный веб-сервер с PHP. Реализация сканера в контексте браузера, по словам разработчика, способствует повышению точности и качества конечного результата, хотя ложные срабатывания не исключены. Для использования XSS Rays необходимо лишь открыть страницу http://localhost/XSS_Rays/helpers/bookmarklet.html и сохранить ссылку в закладки. Сканирование сайта производится по клику на букмарклет и нажатию на CTRL+SHIFT+X.
XSS Rays


Posted

in

by

Comments

8 responses to “XSS Rays – браузер как сканер XSS”

  1. Kuzya Avatar

    Чего только не делают мастера =). Очень заинтересовало, спасибо. Надо будет взглянуть на реализацию.

  2. Siriys any Avatar
    Siriys any

    Крутая утила, правда не для рядового юзвера

  3. Pento Avatar

    Таки преимущества её сомнительны, скорее интересна как PoC

  4. xCedz Avatar
    xCedz

    хм.. видел плугин для огнелиса- нечто похожее.

  5. opium Avatar
    opium

    спасибо, вещь)

  6. d0znpp Avatar

    Хм… Приятная утилита, поможет немного сократить ручной труд, может быть. Но на деле пока ничего не нашла из проектов, которыми занимался. Причем ручным аудитом с головой XSS находились…

  7. AD0 Avatar
    AD0

    Киньте утилиту, а то по старой ссыли на 404 зовет
    аська для конеекта 958614
    заранее спасибо.

  8. Raz0r Avatar

    Ссылка рабочая, вот прямой линк – http://www.businessinfo.co.uk/labs/XSS_Rays/XSS_Rays.zip

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.