Aquí hay algunos Código abierto Escáneres de vulnerabilidad de aplicaciones web que admiten el análisis XSS:
x5s es un complemento Fiddler que tiene como objetivo ayudar a los evaluadores de penetración en
encontrar vulnerabilidades de secuencias de comandos entre sitios. Esto no es un punto y
herramienta de disparo, requiere cierta comprensión de cómo conducen los problemas de codificación
a XSS, y requiere manejo manual.
Documentación: enlace
Descargue X5S: enlace
Grabber es un escáner de aplicaciones web. Básicamente se detecta algún tipo.
de vulnerabilidades en su sitio web. Grabber es simple, no rápido pero
Portátil y realmente adaptable. Este software está diseñado para escanear pequeños
Sitios web como personales, foros, etc. absolutamente no grandes
Aplicación: tomaría demasiado tiempo e inundaría tu red.
Descárguelo aquí: enlace
Código fuente en Github: enlace
Vega es un escáner de seguridad web de código abierto y gratuito.
Plataforma de pruebas para probar la seguridad de las aplicaciones web. Vega puede
ayudarlo a encontrar y validar la inyección SQL, las secuencias de comandos entre sitios (XSS),
inadvertidamente divulgó información sensible, y otros
vulnerabilidades Está escrito en Java, basado en GUI, y se ejecuta en Linux,
OS X, y Windows.
Documentación: enlace
Descargue Vega: enlace
Zed Attack Proxy (ZAP) es uno de los servidores gratuitos más populares del mundo.
herramientas de seguridad y es mantenido activamente por cientos de organizaciones internacionales.
voluntarios *. Puede ayudarte a encontrar automáticamente la seguridad.
Vulnerabilidades en sus aplicaciones web mientras desarrolla y
Probando tus aplicaciones. También es una gran herramienta para experimentados.
Pentesters para utilizar para pruebas de seguridad manual.
Documentación: enlace
Descargue ZAP: enlace
Wapiti le permite auditar la seguridad de sus aplicaciones web.
Realiza exploraciones de "caja negra", es decir, no estudia el código fuente
de la aplicación, pero escaneará las páginas web de la aplicación web desplegada,
buscando scripts y formularios donde pueda inyectar datos.
Una vez que obtiene esta lista, Wapiti actúa como un fuzzer, inyectando cargas útiles
para ver si un script es vulnerable.
Documentación: enlace
Descargue Wapiti: enlace
- W3af:
w3af es un Marco de Auditoría y Ataque de Aplicaciones Web. Los proyectos
El objetivo es crear un marco para ayudarlo a proteger sus aplicaciones web.
encontrando y explotando todas las vulnerabilidades de las aplicaciones web.
Documentación: enlace
Descargue W3af: enlace
- WebScarab:
WebScarab es un marco para analizar aplicaciones que se comunican
utilizando los protocolos HTTP y HTTPS. Está escrito en Java, y por lo tanto es
Portátil a muchas plataformas. WebScarab tiene varios modos de operación,
implementado por una serie de complementos. En su uso más común,
WebScarab funciona como un proxy de intercepción, lo que permite al operador
Revisar y modificar las solicitudes creadas por el navegador antes de ser enviadas.
al servidor, y para revisar y modificar las respuestas devueltas desde el
Servidor antes de que sean recibidos por el navegador. WebScarab es capaz de
Interceptar tanto la comunicación HTTP como HTTPS. El operador también puede
Revisa las conversaciones (solicitudes y respuestas) que han pasado.
a través de WebScarab.
Documentación: enlace
Descargue WebScarab: enlace
Complemento XSS: enlace
¡Buena suerte!