xss 漏洞掃描工具怎么判斷有沒有漏洞的

回答數量: 1

風險管理（專業級）RM/PL 高級信息系統項目管理師

通過測試發現XSS漏洞掃描器一般會檢測網頁數據包中的響應頭中的“content-type: text/html”中是否有“<script>alert(1)</script>”，如果有這個字段掃描器就是將其判斷存在XSS漏洞，但是這種情況會存在很大的漏洞也就是掃描會出現錯誤，掃描不精確，所以使用XSS漏洞掃描器掃描完成后需要進行手工驗證來進一步判斷。

以下是幾款常用的XSS漏洞掃描工具：

XSSer自動化XSS漏洞檢測及利用工具
- 同時使用GET和POST方法注入；
- 包括各種過濾器和繞過技術；
- 可以與命令行和GUI一起使用；
- 將提供攻擊的詳細統計數據。
XSpear一款基于RubyGems的XSS漏洞掃描器
- 基于模式匹配的XSS掃描
- alertconfirmprompt在無痕瀏覽器上檢測事件（使用Selenium）
- XSS保護繞過和反射參數的測試請求/響應
- 測試BlindXSS（使用XSSHunter，ezXSS，HBXSS，Etc所有urlbase盲測…）
- 動態/靜態分析
- 支持自定義回調代碼以測試各種攻擊媒介
- 支持配置文件
BruteXSS是一個非常強大和快速的跨站點腳本暴力注入
- XSS暴力破解
- XSS掃描
- 支持GET/POST請求
- 自定義單詞可以包含
- 人性化的UI
xssfork是一款新一代xss漏洞探測工具，其開發的目的是幫助安全從業者高效率的檢測xss安全漏洞

xssfork與傳統檢測工具相比xssfork使用的是webkit內核的瀏覽器phantomjs，其可以很好的模擬瀏覽器。工具分為兩個部分，xssfork和xssforkapi，其中xssfork在對網站fuzzxss的時候會調用比較多的payload。

回答所涉及的環境：聯想天逸510S、Windows 10。

1年前 / 評論