xss利用和檢測平臺

xssing 是安全研究者Yaseng發起的一個基於 php+mysql的 網站 xss 利用與檢測開源項目,能夠對你的產品進行黑盒xss安全測試,能夠兼容獲取各類瀏覽器客戶端的網站url,cookies已經user-agent等信 息,批量管理代碼,採用MVC構架,易於閱讀和二次開發。

 

安裝方法：

一、在google或者官網下載最新版的xssing,導入 xssing.sql 到mysql 配置 config/mysql.php 刪除 /apps/running/uauc.php 能夠運行

二、sae部署：

新版本的xssing 徹底兼容 sae 請修改配置總入口文件 /uauc/uauc.phpdefine('SAE',1); // 1 在sae部署郵件配置,apps\index\lib\common\common.php 修改 send_mail( send_sae_mail) 對應的信息 更新緩存 你懂的

三、注意：

問題1：安裝以後一片空白
答案1：更新至最新版 開啓php錯誤提示 (uauc/uauc.php 加一個 ob_start())

問題2：怎麼添加用戶
答案2：查看 apps/index/action/User.Action.php 裏面的生成邀請碼算法 請改變token值

問題3：怎麼把?m=xing&a=info&bid=29 又長又臭的url 改爲 想 /xing/info/bid
答案3：這個是mvc框架的典型特徵 請自行編寫url rewrite

問題4：打開以後沒有 樣式 css 圖片沒加載就來
答案4：手動定義一下 uauc/define.php define('SITE_ROOT',"網站url 帶http")

 

版本狀況：

xssing 1.0

完成xss 平臺基本框架xssing 1.1修復幾個bug 完善在 linux 環境下的兼容性

xssing 1.2

修改幾個邏輯bug和 自身的xss (僞造USER_AGENT) ps:感謝法克論壇的灰太狼 徹底兼容sae平臺

xssing 1.3

內核框架 uauc framework 調試升級能夠記錄腳本運行時間 當前執行sql語句 xss 獲取信息兼容性 增長瀏覽器批量刪除 全選 功能 增長 126 網址縮短 增長郵件提醒 (sae 兼容)