Software para probar vulnerabilidades de XSS y otros sitios web [cerrado]

4

Uno de mi sitio se enviaría para una prueba de vulnerabilidad, no estoy seguro si la compañía realiza esta prueba manualmente.

Me preguntaba si puedo encontrar algún software en el que especifique todos los nombres de variables utilizados en mi sitio web e intente automáticamente ingresar código, script y otras cosas en mi formulario y páginas para ver si hay alguna vulnerabilidad abierta.

No confío en los servicios en línea, así que realmente preferiría algo en mi máquina local, esto también me permitiría hacer la prueba en el entorno local primero.

    
pregunta al404IT 07.07.2017 - 12:27
fuente

2 respuestas

3

Aquí hay algunos Código abierto Escáneres de vulnerabilidad de aplicaciones web que admiten el análisis XSS:

  • X5S
  

x5s es un complemento Fiddler que tiene como objetivo ayudar a los evaluadores de penetración en   encontrar vulnerabilidades de secuencias de comandos entre sitios. Esto no es un punto y   herramienta de disparo, requiere cierta comprensión de cómo conducen los problemas de codificación   a XSS, y requiere manejo manual.

Documentación: enlace
Descargue X5S: enlace

  • Grabber :
  

Grabber es un escáner de aplicaciones web. Básicamente se detecta algún tipo.   de vulnerabilidades en su sitio web. Grabber es simple, no rápido pero   Portátil y realmente adaptable. Este software está diseñado para escanear pequeños   Sitios web como personales, foros, etc. absolutamente no grandes   Aplicación: tomaría demasiado tiempo e inundaría tu red.

Descárguelo aquí: enlace
Código fuente en Github: enlace

  • Vega:
  

Vega es un escáner de seguridad web de código abierto y gratuito.   Plataforma de pruebas para probar la seguridad de las aplicaciones web. Vega puede   ayudarlo a encontrar y validar la inyección SQL, las secuencias de comandos entre sitios (XSS),   inadvertidamente divulgó información sensible, y otros   vulnerabilidades Está escrito en Java, basado en GUI, y se ejecuta en Linux,   OS X, y Windows.

Documentación: enlace
Descargue Vega: enlace

  • ZAP:
  

Zed Attack Proxy (ZAP) es uno de los servidores gratuitos más populares del mundo.   herramientas de seguridad y es mantenido activamente por cientos de organizaciones internacionales.   voluntarios *. Puede ayudarte a encontrar automáticamente la seguridad.   Vulnerabilidades en sus aplicaciones web mientras desarrolla y   Probando tus aplicaciones. También es una gran herramienta para experimentados.   Pentesters para utilizar para pruebas de seguridad manual.

Documentación: enlace
Descargue ZAP: enlace

  • Wapiti
  

Wapiti le permite auditar la seguridad de sus aplicaciones web.

     

Realiza exploraciones de "caja negra", es decir, no estudia el código fuente   de la aplicación, pero escaneará las páginas web de la aplicación web desplegada,   buscando scripts y formularios donde pueda inyectar datos.

     

Una vez que obtiene esta lista, Wapiti actúa como un fuzzer, inyectando cargas útiles   para ver si un script es vulnerable.

Documentación: enlace
Descargue Wapiti: enlace

- W3af:

  

w3af es un Marco de Auditoría y Ataque de Aplicaciones Web. Los proyectos   El objetivo es crear un marco para ayudarlo a proteger sus aplicaciones web.   encontrando y explotando todas las vulnerabilidades de las aplicaciones web.

Documentación: enlace
Descargue W3af: enlace

- WebScarab:

  

WebScarab es un marco para analizar aplicaciones que se comunican   utilizando los protocolos HTTP y HTTPS. Está escrito en Java, y por lo tanto es   Portátil a muchas plataformas. WebScarab tiene varios modos de operación,   implementado por una serie de complementos. En su uso más común,   WebScarab funciona como un proxy de intercepción, lo que permite al operador   Revisar y modificar las solicitudes creadas por el navegador antes de ser enviadas.   al servidor, y para revisar y modificar las respuestas devueltas desde el   Servidor antes de que sean recibidos por el navegador. WebScarab es capaz de   Interceptar tanto la comunicación HTTP como HTTPS. El operador también puede   Revisa las conversaciones (solicitudes y respuestas) que han pasado.   a través de WebScarab.

Documentación: enlace Descargue WebScarab: enlace Complemento XSS: enlace

¡Buena suerte!

    
respondido por el Soufiane Tahiri 07.07.2017 - 16:42
fuente
0

Comprueba XSSer:

enlace

Es un -framework- automático para detectar, explotar e informar vulnerabilidades de XSS en aplicaciones basadas en web

    
respondido por el OscarAkaElvis 07.07.2017 - 13:20
fuente

Lea otras preguntas en las etiquetas