XSS 自動化檢測 Fiddler Watcher & x5s & ccXSScan 初識

 1、標題：XSS 自動化檢測 Fiddler Watcher & x5s  & ccXSScan 初識     automated XSS testing assistant

 

2、引言

Google大神告訴我，Watcher  &  x5s 這兩插件技術文章很是稀有，《XSS 自動化檢測 Fiddler Watcher & x5s  & ccXSScan初識》

整篇文章講的就是初識兩工具，並記錄安裝使用的過程記錄！深刻還有待完善.....

3、Before

3.1 關於XSS自動化檢測的那些事

在wooyun上學習心傷的瘦子 [騰訊實例教程] 那些年咱們一塊兒學XSS。看到有xss掃描神器（謠傳有此神器，未見其實，大帽沒share o(╯□╰)o）

(力薦學XSS Bypass的兩大正營：1.二哥的XSS教學 - by gainover 2.心傷的瘦子 [騰訊實例教程] 那些年咱們一塊兒學XSS)

&且在y35u那裏知道的DoMinator神器(mindedsecurity,有點傷感「囧」只用了15天，破解方法不成功)

 

DOMinator不能用以後，在網上見到許多有XSS掃描工具，像BurpSuite有自動化掃描插件 BurpSuite_DOMxss_scanners插件 

有興趣請跳轉到http://www.3hack.com/tools/BurpSuite_DOMxss_scanners%E6%8F%92%E4%BB%B6.txt 

【需求】迫切需找一個神器能自動掃描檢測XSS,絕非用Nessus、Paros等整站掃描性質的。

源於看了這篇文章：11個免費的Web安全測試工具 ，Fiddler 神器竟然也有XSS掃描插件(推測Charles應該也有...)。

so...今天重點是：

1.Watcher

2.x5s

3.ccXSScan

 

四.故事Ing

4.1 Watcher  &  x5s 初識

【Luolired】網上太多這樣的文縐縐介紹，略曉便可,技術使用細節教程幾乎沒有，第一步須要的就是漢化doucment。

A)Watcher - Passive Security Auditor

Watcher is a runtime passive-analysis tool for Web applications. It detects Web-application security issues as well as operational configuration issues. Watcher provides pen-testers hotspot detection for vulnerabilities, developers quick sanity checks, and auditors PCI and OWASP compliance auditing. 

It looks for issues related to mashups, user-controlled payloads (potential XSS), cookies, comments, HTTP headers, SSL, Flash, Silverlight, referrer leaks, information disclosure,

 Unicode, and more.  Learn more...

Watcher是一個實時的基於HTTP的web應用程序被動分析工具。被動意味着它不會對系統形成破壞，它能夠十分安全的用於雲計算機、共享主機和託管主機環境。

Watcher即可以

檢測web應用程序安全問題還可以監測業務配置問題。Watcher可以爲滲透測試人員提供熱點漏洞檢測，

包括Xss，cookies,comments,http響應頭，SSL，Flash, Silverlight，referrer泄露，信息泄露和Unicode等可能存在的問題。

Watcher更新至1.5.2版

B)x5s - Automated XSS Security Testing Assistant

x5s aims to assist penetration testers in finding cross-site scripting vulnerabilities. It's main goal is to help you identify the hotspots where XSS

might occur by:

• Detecting where safe encodings were not applied to emitted user-inputs

• Detecting where Unicode character transformations might bypass security filters

• Detecting where non-shortest UTF-8 encodings might bypass security filters

Learn more...

x5s 發佈-自動化的XSS安全性輔助測試工具

x5s是Fiddler的一個插件 ,旨在幫助滲透測試人員發現跨站腳本漏洞，它的主要目標是幫助你找出可能出現的跨站腳本的關鍵點。

關鍵點包括：

檢測對於用戶提交的輸入安全編碼不適用的狀況檢測Unicode 字符轉換可能繞過安全過濾系統的狀況。

檢測non-shortest UTF-8 編碼可能繞過安全過濾系統的狀況

 

C)ccXSScan

ccXSScan看這篇文章：

ccXSScan for Fiddler--會瀏覽網頁就會挖XSS!!!

4.2 Installation and quickstart

注意：

1.X5S安裝須要dotNetFx35setup.exe Microsoft .NET Framework 3.5 Setup(別下載到了Microsoft .NET Framework 3.5 sp1)

2.都是把.dll插件放到Fiddler2安裝目錄的Scripts文件夾當中(如:D:\Program Files\Fiddler2\Scripts),從新啓動Fiddler2便可使用

如遇卸載，則到Scripts文件夾下Del .dll 或從新安裝軟件有選項修復仍是移除。

4.3 Use

注意：

一、使用環節參考具體的說明文檔documentation

Watcher  http://websecuritytool.codeplex.com/documentation

X5s        http://xss.codeplex.com/documentation

囧 翻譯不是很精準，仍是各自看吧，你比我看得懂。第一個漢化的「吃螃蟹人就是你，發表出來吧」

2.提醒 在Enable 設置好後,Test Case Configuration下的Character 列務必勾選呀！

4.5 測試使用結果

測試結果，都能找到XSS,但總感受不是那麼爽，費些周折，你本身試試咯。

A)Watcher

B）X5S

C）ccXSScan 

只到了step1,徹底不知道怎麼將檢測分析後的URL，跳到step2.暈+_+

《ccXSScan 只要會瀏覽網頁，就會挖XSS漏洞！！！ 》圖2--->圖3

大大知道的tell me!

4.6 Error  端口重用

你改了Fiddler的端口port，還不必定能用！so明確的解決方法步驟，暫時尚未...

5、總結

【Luolired】

1.比較欣賞Watcher 它的Result安全等級分類信息不錯！和DOMinator 具體細節描述有得一拼。源於有OWASP 漏洞細節支持。

2.仍是商業的DOMinator 符合個人口味，瀏覽網頁就能實時同步檢測出XSS！上面的XSS自動化檢測工具，只是拋磚引玉，初識。

都還不成熟，只爲進一步推進國人在XSS自動化檢測挖掘，OWASP工具教程細節漢化多多地來。

 

DOM XSS Scanner - Find DOM based XSS Security Vulnerabilities

 

1. https://github.com/yaph/domxssscanner

2. http://code.google.com/p/ra2-dom-xss-scanner/

3. http://code.google.com/p/domxsswiki/wiki/Introduction