مرداد ۲۰, ۱۳۹۹
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

آموزش کار با ابزار XSpear

آموزش کار با ابزار XSpear

ابزار XSpear یک ابزار قدرتمند به منظور اسکن و تجزیه و تحلیل پارامترها و مبتنی بر زبان برنامه نویسی روبی (Ruby) می باشد، که بصورت داینامیک و استاتیک به تحلیل آسیب پذیری XSS می پردازد. این ابزار قادر به اسکن، شناسایی و آنالیز آسیب پذیری های بالقوه XSS بر روی وب اپلیکیشنها است.

آسیب پذیری XSS یکی از رایج ترین آسیب پذیری‌های سطح وب اپلیکیشن‌ها است که براساس عدم تایید درست ورودی های کاربر می تواند رخ دهد. این آسیب پذیری نوعی از حمله های تزریق می‌باشد که در آن دستورات و اسکریپت‌های مخرب به وبسایت‌های دارای این نوع آسیب پذیری، تزریق می‌شوند. حمله‌های XSS هنگامی رخ می‌دهند که هکر از یک برنامه تحت وب به منظور ارسال کد مخرب، عموما به صورت یک اسکریپت سمت مرورگر، به یک کاربر نهایی دیگر استفاده می‌کند. این آسیب پذیری به صورت پیوسته در لیستی که توسط موسسه OWASP در مورد ده آسیب پذیری پر چالش منتشر می‌شود، وجود دارد.

ابزار XSpear، می‌تواند آسیب‌پذیری‌های XSS را بر روی برنامه‌های تحت وب شناسایی و آنالیز کند.

ویژگی های کلیدی XSpear عبارتند از:

  • Pattern matching based XSS scanning
  • Detect alert confirm prompt event on headless browser (with Selenium)
  • Testing request/response for XSS protection bypass and reflected(or all) params
  • Testing Blind XSS (with XSS Hunter , ezXSS, HBXSS, Etc all url base blind test…)
  • Dynamic/Static Analysis
  • Scanning from Raw file(Burp suite, ZAP Request)
  • XSpear running on ruby code(with Gem library)
  • Show table base cli-report and filtered rule, testing raw query (url)
  • Testing at selected parameters
  • Support output format cli json html
  • Support Verbose level (0~3)
  • Support custom callback code to any test various attack vectors
  • Support Config file

در ویدئو زیر که توسط مهندس نیما دباغی تهیه شده است، می توانید با نحوه استفاده از این ابزار آشنا شوید:

آموزش نحوه کار با XSpear

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *