【发布时间】:2010-03-16 10:19:55
【问题描述】:
我最近在一个将 XSS 攻击直接写入数据库的工具上发现了 this blog entry。这看起来是一种非常好的方法来扫描应用程序以查找我的应用程序中的弱点。
我尝试在Mono 上运行它,因为我的开发平台是 Linux。不幸的是,它在Microsoft.Practices.EnterpriseLibrary 的深处出现了System.ArgumentNullException 崩溃,我似乎无法找到有关该软件的足够信息(它似乎是一个单一的项目,没有主页,也没有进一步的开发)。
有人知道类似的工具吗?最好应该是:
- 跨平台(Java、Python、.NET/Mono,甚至跨平台 C 也可以)
- 开源(我真的很喜欢能够审核我的安全工具)
- 能够与各种数据库产品(最重要的数据库产品:MySQL、Oracle、SQL Server ......)交流
编辑:我想澄清我的目标:我想要一个直接编写成功 XSS 结果的工具/SQL 对数据库的注入攻击。这个想法是我想检查我的应用程序中的每个地方是否正确输出编码。首先检测并避免数据到达那里是完全不同的事情(当我显示由第三方应用程序写入数据库的数据时可能无法实现)。
编辑 2: 我在上面链接到的工具的作者 Corneliu Tusnea 已经在 codeplex 上作为免费软件发布了该工具:http://xssattack.codeplex.com/
【问题讨论】:
-
只是为了记录,博客条目现在是 404。但是看起来很有趣......
-
很遗憾,Google 快速搜索并未显示 Tusneas 博客的新位置。
标签: xss security-testing