显然,我需要一个工具,该工具可以找到HTTP请求中所有可能进行输入的位置(包括URL哈希之后的数据),然后尝试从某些位置输入所有可能的条目代表XSS注入的字典,以查看应用程序是否受到保护。当然,可能需要人工判断才能确定注入是否成功(在浏览器中呈现HTTP响应的页面的屏幕快照非常方便)
#1 楼
过去,我已经使用了几种解决方案。 Acunetix和IBM Rational AppScan都将测试基于反射,存储和基于DOM的跨站点脚本。这两个应用程序都将为您提供所有相关信息,包括请求,响应,潜在影响等。AppScan实际上将提供我记得的屏幕截图。两者都可以让您手动重新执行请求,以亲自查看或稍作修改。我已经广泛使用Acunetix,但对于大多数应用程序仍然很满意。它也是上述2种产品中最便宜的。我没有任何经验,但是我认为Burp Suite也可以满足您的需求。
Zed Attack Proxy也可以使用,并且是免费的。
评论
我已经使用过Burp Suite,并且对此感到满意。学习曲线很小,但总体来说非常直观且功能齐全。
–山姆·伍兹(Sam Woods)
2012年7月27日在20:21
我过去曾经使用过Burp Suite,当时必须创建一个可能要注入的XSS输入的列表,不确定现在是否提供了现成的文件
–oldbam
2012年7月30日15:48
他们做到了,他们有一个相当广泛的已知XSS / sql注入字符串列表。
–山姆·伍兹(Sam Woods)
2012年7月30日在16:59
#2 楼
概述。有很多方法可以检测XSS漏洞:测试工具(例如黑盒Web漏洞扫描工具),静态分析工具和手动代码检查。此外,某些Web应用程序框架支持避免XSS的方法。预防是最好的防御方法。最好的第一道防线是将安全性集成到软件开发生命周期中。培训您的开发人员有关如何防止XSS的知识。训练他们对输入使用输入验证,并对在HTML文档中动态插入的所有值使用合适的输出转义。插入HTML。有关更多背景信息,请阅读我在其他地方的说明。
请记住,您无法事后测试质量。开发人员需要拥有避免XSS的问题。没有人是完美的,因此执行某种质量保证,检查疏忽和疏忽大意可能会有所帮助-但不要接受阻止XSS主要是测试团队负责的态度。并非如此。
黑盒网络漏洞扫描工具。
黑盒网络漏洞扫描工具通过爬网您的网站并发送精心设计的恶意输入来检查XS之类的常见漏洞。到您的Web应用程序,以了解它如何处理这些输入。这些工具可用于查找XSS漏洞。 (它们有时也称为黑盒Web渗透测试(渗透测试)工具。)
这个领域有很多产品,包括商业和开源产品。从纯粹的手动渗透测试(由渗透测试专家执行)到全自动的傻瓜式漏洞扫描工具,再到混合了两者的混合服务,有多种方法。对于手动渗透测试,您可以从专门从事此工作的公司购买服务。您还可以找到可以定期执行自动和手动渗透测试的组合的服务,并在出现任何新漏洞时向您发出警报(例如WhiteHat Security)。最后,黑盒漏洞扫描程序通常旨在以自动化方式使用-尽管会受到警告,但它们会输出警告列表,并且某些人将需要手动查看这些警告,因为其中一些警告将是错误警报。
有效性。
请务必牢记,自动黑盒漏洞扫描工具只能发现一小部分漏洞。一项最新研究发现,自动黑盒漏洞扫描仅发现应用程序中约40%的漏洞。由经验丰富的安全专家进行的手动代码审查发现了黑盒漏洞扫描遗漏的许多漏洞。因此,如果您有能力执行黑盒漏洞扫描和手动代码审查,则这将更有效地检测Web应用程序中的漏洞。
阅读材料。
这里有两项研究总结了该领域的最新技术的论文:
为什么Johnny不能渗透:黑盒Web漏洞扫描程序分析。亚当·杜普(Adam Doupe),马可·科瓦(Marco Cova)和乔瓦尼·维尼亚(Giovanni Vigna)。 DIMVA2010。
本文评估了11种黑盒Web漏洞扫描程序,包括商业和开源程序,并在示例应用程序中比较了它们的有效性。
最新技术:自动化的黑匣子Web应用程序漏洞测试。 Jason Bau,Elie Bursztein,Divij Gupta和John Mitchell。 IEEE安全与隐私2010。
另请参阅以下非学术白皮书:
Web漏洞扫描程序评估。阿南塔安全。 2009年1月。
比较了许多商业黑盒子Web漏洞扫描程序的有效性。
分析有效性和Web应用程序安全扫描程序的范围。拉里·苏托(Larry Suto)。 2007年10月。
比较了3种商业黑盒Web漏洞扫描程序的有效性。请注意,该方法还不够完善,已经受到了一些批评。该报告在很大程度上被以下报告取代。
分析Web应用程序安全扫描程序的准确性和时间成本。拉里·苏托(Larry Suto)。 2010年2月。
比较了7种商业黑盒Web漏洞扫描程序的有效性。
Web应用程序安全统计信息。 Web应用程序
安全联盟。
包含有关Web漏洞扫描和其他检测漏洞方法的各种统计信息。一种统计数据:“通过自动扫描在动态Web应用程序中检测到紧急或严重错误的概率约为49%,通过全面的专家分析检测到的概率为96%”。 。 Mark Curphey和Rudolph Araujo。 IEEE安全和隐私杂志,第4卷第4期,第32–41页,2006年。
此外,这可能引起关注: >探索Web应用程序开发工具与安全性之间的关系。 Matthew Finifter和David Wagner。 WebApps2011。
本文是上述关于黑箱漏洞扫描程序在检测Web漏洞方面的有效性的统计信息的来源。最后,您可以找到许多有关此的信息Security.SE网站上的主题:
哪些工具可用于评估Web应用程序的安全性? -列出了许多黑盒式Web漏洞扫描工具以及其他工具。
寻找开源爬虫/蜘蛛和扫描器[关闭]-列出了更多的漏洞扫描器工具。
Web所占比例网站容易受到攻击? -列出一些统计信息,说明哪些网站易受攻击以及各种漏洞的流行程度。使用该网站上的搜索工具。
评论
您有预算吗?