Небезызвестный Gareth Heyes сегодня опубликовал свою новую утилиту для сканирования сайтов на наличие XSS. Особенность его разработки заключается в том, что процесс сканирования производится браузером атакующего при помощи javascript. Алгоритм довольно прост: javascript-код рекурсивно собирает все ссылки и формы со страниц сайта и проводит различные тесты, используя встроенную базу векторов. XSS Rays способен совершать кроссдоменные вызовы благодаря использованию тэгов iframe вместо AJAX. Для логирования результатов сканеру требуется локальный веб-сервер с PHP. Реализация сканера в контексте браузера, по словам разработчика, способствует повышению точности и качества конечного результата, хотя ложные срабатывания не исключены. Для использования XSS Rays необходимо лишь открыть страницу http://localhost/XSS_Rays/helpers/bookmarklet.html и сохранить ссылку в закладки. Сканирование сайта производится по клику на букмарклет и нажатию на CTRL+SHIFT+X.
XSS Rays
XSS Rays – браузер как сканер XSS
by
Tags:
Comments
8 responses to “XSS Rays – браузер как сканер XSS”
-
Чего только не делают мастера =). Очень заинтересовало, спасибо. Надо будет взглянуть на реализацию.
-
Крутая утила, правда не для рядового юзвера
-
Таки преимущества её сомнительны, скорее интересна как PoC
-
хм.. видел плугин для огнелиса- нечто похожее.
-
спасибо, вещь)
-
Хм… Приятная утилита, поможет немного сократить ручной труд, может быть. Но на деле пока ничего не нашла из проектов, которыми занимался. Причем ручным аудитом с головой XSS находились…
-
Киньте утилиту, а то по старой ссыли на 404 зовет
аська для конеекта 958614
заранее спасибо. -
Ссылка рабочая, вот прямой линк – http://www.businessinfo.co.uk/labs/XSS_Rays/XSS_Rays.zip
Leave a Reply