Существуют ли кроссплатформенные инструменты для записи XSS-атак непосредственно в базу данных?

Question

Я недавно нашел эту запись в блоге об инструменте, который записывает XSS-атаки непосредственно в базу данных. Похоже, это очень хороший способ отсканировать приложение на наличие слабых мест в моих приложениях.

Я пытался запустить его на Mono , так как моей платформой разработки является Linux. К сожалению, он падает с глубиной System.ArgumentNullException внутри Microsoft.Practices.EnterpriseLibrary, и мне кажется, что я не могу найти достаточную информацию о программном обеспечении (кажется, что это однократный проект, без домашней страницы и без дальнейшей разработки).

Кто-нибудь знает о подобном инструменте? Предпочтительно оно должно быть:

• кросс-платформенный (Java, Python, .NET / Mono, даже кроссплатформенный C в порядке)
• с открытым исходным кодом (мне очень нравится возможность проверять мои инструменты безопасности)
• в состоянии общаться с широким спектром продуктов БД (наиболее важные из них: MySQL, Oracle, SQL Server, ...)

Редактировать: Я хотел бы уточнить мою цель: мне нужен инструмент, который напрямую записывает результат успешной инъекции XSS / SQL атаковать в базу данных. Идея состоит в том, что я хочу проверить, что каждое место в моем приложении корректно выводит кодировку . Обнаружение и предотвращение попадания данных в первую очередь - это совсем другое (и это может быть невозможно при отображении данных, записанных в БД сторонним приложением).

Редактировать 2: Corneliu Tusnea, автор инструмента, на который я ссылался выше, с тех пор выпустил инструмент в виде свободного программного обеспечения для codeplex: http://xssattack.codeplex.com/

Answer 1

Я думаю, что metasploit имеет большинство атрибутов, которые вы ищете. Это может быть даже единственный, в котором есть все, что вы укажете, поскольку все остальные, о которых я могу думать, являются закрытыми. Существует несколько существующих модулей, которые работают с XSS, и один из них, на который вам стоит обратить особое внимание: HTTP Microsoft SQL Injection Table XSS Infection. Из звуков этого модуля он способен делать именно то, что вы хотите сделать. Я полагаю, что фреймворк написан на Ruby, и его легко дополнить собственными модулями, которые вам могут понадобиться. Я надеюсь, что это помогает.

http://www.metasploit.com/

Answer 2

Не уверен, что это то, что вам нужно, это фаззер параметров для HTTP / HTTPS.

Я не использовал его некоторое время, но IIRC действует как прокси между вами и рассматриваемым веб-приложением и вставляет строки атаки XSS / SQL-инъекций в любые поля ввода, прежде чем решить, был ли ответ "интересным" или нет, таким образом, является ли приложение уязвимым или нет.

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

Исходя из вашего вопроса, я предполагаю, что это тип фаззера, который вы ищете, и один специально для XSS и веб-приложений; если я прав - тогда это может вам помочь!

Это часть открытого проекта безопасности веб-приложений (OWASP), с которым "jah" связал вас выше.

Answer 3

Мой друг постоянно говорит, что php-id довольно хорошо. Я сам не пробовал, но звучит так, как будто оно может приблизительно соответствовать вашему описанию:

• Open Source (LGPL),
• Кроссплатформенность - PHP нет в вашем списке, но, возможно, все в порядке?
• Обнаруживает «всевозможные XSS, SQL-инъекции, внедрение заголовков, обратный путь в каталогах, атаки RFE / LFI, DoS и LDAP» (это из FAQ)
• Журналы в базы данных.

Answer 4

Я не думаю, что есть такой инструмент, кроме того, на который вы нам указали. Я думаю, что для этого есть веская причина: вероятно, это не лучший способ проверить, что каждый вывод правильно закодирован для соответствующего контекста.

Из прочтения об этом инструменте кажется, что предпосылка состоит в том, чтобы вставить случайные векторы xss в базу данных, а затем вы просматриваете свое приложение, чтобы увидеть, если какой-либо из этих векторов будет успешным. Это, скорее, методология «удачи и промаха», если не сказать больше.

Гораздо лучшая идея, я думаю, заключалась бы в проверке кода.

Возможно, вам будет полезно взглянуть на некоторые ресурсы, доступные по адресу http://owasp.org, а именно: Стандарт проверки безопасности приложений (ASVS), Руководство по тестированию и Руководство по проверке кода.

Answer 5

Здесь есть несколько плагинов Firefox для тестирования XSS: http://labs.securitycompass.com/index.php/exploit-me/