Soy consciente de que hay varias herramientas para probar las vulnerabilidades de XSS. Sin embargo, todos los que conozco (Vega, posiblemente BeEF, etc.) operan exclusivamente del lado del cliente. Al probar específicamente las vulnerabilidades de XSS almacenadas , parece que también sería útil modificar directamente los datos almacenados en el servidor. Por ejemplo, incluso si el filtro de entrada normalmente protege contra el XSS almacenado, la inyección de SQL podría ser una forma de introducir HTML malicioso en el resultado de la página (aunque de una manera indirecta).
¿Existe alguna herramienta que pueda modificar directamente los registros de la base de datos (o un contenido similar del servidor) para probar posibles vulnerabilidades de XSS almacenadas?
Por ejemplo, usar una conexión de SQL legítima (y / o inyección de SQL) para insertar automáticamente datos maliciosos en la base de datos, y luego usar un rastreador web para ver si esos datos maliciosos se escapan correctamente cuando / si se procesa en página web.
Si no es así, ¿hay alguna razón en particular por la que no se haya hecho o es que nadie lo ha logrado todavía?
No necesariamente estoy buscando la "mejor" herramienta, solo quiero saber si cualquiera existe antes de comenzar a escribir la mía.