是否有跨平臺工具將XSS攻擊直接寫入數據庫？

Question

我最近在一個將XSS攻擊直接寫入數據庫的工具中發現this blog entry。對於掃描應用程序中的弱點而言，它看起來像是非常好的方法。

我試過在Mono上運行它，因爲我的開發平臺是Linux。不幸的是，它在Microsoft.Practices.EnterpriseLibrary內部深處發生了System.ArgumentNullException崩潰，我似乎無法找到關於該軟件的足夠信息（這似乎是一個單一項目，沒有主頁，也沒有進一步的開發）。

有人知道有類似的工具嗎？優選地，它應該是：

• 跨平臺（使用Java，Python，.NET /單聲道，甚至是跨平臺的C是確定）
• 開源（我真的很喜歡能夠審覈我的安全工具）
• 談得來廣泛DB產品（大的有最重要的：MySQL和甲骨文，SQL服務器，...）

編輯：我想澄清我的目標：我想要一個工具，直接寫入結果成功將XSS/SQL注入攻擊數據庫。這個想法是，我想檢查我的應用程序中的每個地方是否正確輸出編碼。檢測並避免首先到達的數據是完全不同的事情（並且在顯示由第三方應用程序寫入數據庫的數據時可能無法實現）。

編輯2：科爾內留Tusnea，我聯繫到上述工具的作者，自發布工具在CodePlex上作爲免費軟件：http://xssattack.codeplex.com/

Answer 1

我認爲metasploit具有您正在尋找的大部分屬性。它甚至可能是唯一一個擁有你指定的全部內容的人，因爲我能想到的所有其他人都是封閉源。有幾個處理XSS的現有模塊，特別是您應該查看一下：HTTP Microsoft SQL注入表XSS感染。從該模塊的聲音中，它能夠完成你想要做的事情。 該框架是用Ruby編寫的，我認爲它應該很容易用自己的模塊進行擴展，您可能需要/想要做的。 我希望有所幫助。

http://www.metasploit.com/

Answer 2

有一些Firefox的插件來這裏做一些XSS測試： http://labs.securitycompass.com/index.php/exploit-me/

Answer 3

我的一位朋友一直在說，那php-ids是相當不錯的。我還沒有嘗試過自己，但它聽起來好像它可能近似匹配你的描述：

• 開源（LGPL），
• 跨平臺 - PHP是不是在你的名單，但也許這是好嗎？
• 檢測到「各種各樣的XSS，SQL注入，頭注入，目錄遍歷，RFE/LFI，DoS和LDAP攻擊」（這是來自FAQ）
• 登錄到數據庫。

Answer 4

我不認爲有這樣的工具，除了你指出的那個。我認爲有一個很好的理由：這可能不是最好的方法來測試每個輸出是否適用於適用的上下文。

從關於該工具的閱讀看來，前提是將隨機xss向量插入數據庫，然後瀏覽應用程序以查看是否有任何這些向量成功。至少可以這麼說，這是一種屢試不爽的方法。

我認爲一個更好的主意是執行代碼評論。

您可能會發現查看http://owasp.org的一些可用資源（即應用程序安全驗證標準（ASVS），測試指南和代碼複審指南）會有幫助。

Answer 5

不確定這是否是您要的，它是HTTP/HTTPS的參數fuzzer。

我有一段時間沒有使用它，但是IIRC它是您和所涉及的Web應用程序之間的代理 - 並且在認定響應是否「有趣之前將XSS/SQL注入攻擊字符串插入到任何輸入字段「或不，因此應用程序是否易受攻擊。

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

從你的問題我猜這是一種模糊器的您正在尋找，和一個專門爲XSS和Web應用程序;如果我是對的 - 那麼這可能會幫助你！

它是開放Web應用程序安全項目（OWASP）的一部分，「jah」已將您鏈接到上面。