12

最近、XSS攻撃をデータベースに直接書き込むツールでこのブログエントリを見つけました。アプリケーションをスキャンして、アプリケーションの弱点を探すのは非常に良い方法のようです。

私の開発プラットフォームはLinuxなので、 Monoで実行しようとしました。残念ながら、System.ArgumentNullException内部が深くクラッシュしMicrosoft.Practices.EnterpriseLibrary、ソフトウェアに関する十分な情報を見つけることができないようです(ホームページも開発も行われていない、単発のプロジェクトのようです)。

誰かが同様のツールを知っていますか?できれば次のようにする必要があります。

  • クロスプラットフォーム(Java、Python、.NET / Mono、クロスプラットフォームCでも問題ありません)
  • オープンソース(セキュリティツールを監査できるのが本当に好きです)
  • さまざまなDB製品と通信できます(大きな製品が最も重要です:MySQL、Oracle、SQL Serverなど)。

編集:私の目標を明確にしたい:成功したXSS/SQLインジェクション攻撃の結果をデータベースに直接書き込むツールが欲しい。アイデアは、アプリのすべての場所で正しい出力エンコーディングが行われていることを確認したいということです。そもそもそこに到達するデータを検出して回避することは、まったく別のことです(サードパーティのアプリケーションによってDBに書き込まれたデータを表示する場合は不可能な場合があります)。

編集2:上記でリンクしたツールの作成者であるCorneliu Tusneaは、その後、codeplexでフリーソフトウェアとしてツールをリリースしました:http://xssattack.codeplex.com/

4

5 に答える 5

2

これがあなたが求めているものであるかどうかわからない、それはHTTP/HTTPSのパラメータファザーです。

私はしばらく使用していませんが、IIRCは、ユーザーと問題のWebアプリケーションの間のプロキシとして機能し、応答が「興味深い」かどうかを判断する前に、入力フィールドにXSS/SQLインジェクション攻撃文字列を挿入します。したがって、アプリケーションが脆弱かどうか。

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

あなたの質問から、それはあなたが探している一種のファザーであり、特にXSSとWebアプリケーション用のものだと思います。私が正しければ-それならあなたを助けるかもしれません!

「jah」があなたを上記にリンクさせたOpenWebApplication Security Project(OWASP)の一部。

于 2010-03-29T02:08:07.153 に答える
2

metasploitには、探している属性のほとんどが含まれていると思います。私が考えることができる他のすべてはクローズドソースであるため、それはあなたが指定したものすべてを持っている唯一のものでさえあるかもしれません。XSSを処理する既存のモジュールがいくつかあり、特に、HTTPMicrosoftSQLインジェクションテーブルXSS感染を確認する必要があります。そのモジュールのサウンドから、それはあなたがやりたいことを正確に行うことができます。フレームワークはRubyで書かれていると思いますが、必要な/実行したい独自のモジュールを使用して簡単に拡張できるはずです。それがお役に立てば幸いです。

http://www.metasploit.com/

于 2010-03-30T06:27:04.250 に答える
1

ここにいくつかのXSSテストを行うためのFirefoxプラグインがいくつかあります:http: //labs.securitycompass.com/index.php/exploit-me/

于 2010-03-25T11:56:27.170 に答える
1

私の友人は、php-idsはかなり良いと言い続けています。私自身は試していませんが、あなたの説明とほぼ一致するように聞こえます。

  • オープンソース(LGPL)、
  • クロスプラットフォーム-PHPはリストに含まれていませんが、大丈夫ですか?
  • 「あらゆる種類のXSS、SQLインジェクション、ヘッダーインジェクション、ディレクトリトラバーサル、RFE / LFI、DoS、およびLDAP攻撃」を検出します(これはFAQからのものです)
  • データベースにログを記録します。
于 2010-03-26T20:58:25.080 に答える
1

あなたが私たちに指摘したもの以外に、そのようなツールはないと思います。それには正当な理由があると思います。それは、すべての出力が適切なコンテキストに対して適切にエンコードされていることをテストするための最良の方法ではない可能性があります。

そのツールについて読んだところ、データベースにランダムなxssベクトルを挿入し、アプリケーションを参照して、これらのベクトルのいずれかが成功するかどうかを確認することが前提のようです。控えめに言っても、これはヒットアンドミスの方法論です。

はるかに良いアイデアは、コードレビューを実行することだと思います。

http://owasp.orgで利用可能なリソースのいくつか、つまり、アプリケーションセキュリティ検証標準(ASVS)、テストガイド、およびコードレビューガイドを確認すると役立つ場合があります。

于 2010-03-28T17:14:12.900 に答える