应用介绍
今天小编给使用chrome浏览器的小伙伴带来一款XssSniper Chrome,这款插件安装在谷歌浏览器上可以帮你发现XSS漏洞,确保网站的安全,这款xss漏洞检测插件该怎么用呢?接下来小编就给大家仔细介绍一下。
功能介绍:
1、XssSniper可以帮助安全人员发现隐藏于网页中的DomXSS、反射式XSS、JONP XSS与SOM
2、XssSniper应用了两种方法去检测DOMXSS
XssSniper安装说明:
1、在打开的谷歌浏览器的扩展管理器最左侧选择扩展程序或直接输入:chrome://extensions/
2、将研发者模式打上勾
3、将解压出来的crx文件拖入到浏览器中即可安装添加
检测DOMXSS的两种方法:
方法一:FUZZ
1、 具在当前页面中创建一个隐形的iframe,在这个iframe中应用不同字符组合截断的payload去fuzz当前页面中的每个url参数,与location.hash参数
2、如果payload执行,说明漏洞一定存在。这种检测方法误报率非常低,只要是检测出来的一定都是都是存在漏洞的
方法二:监控js错误变化
1、如果xss存在方式比较隐蔽,或者需要非常复杂的字符组合来截断的话,payload是无法正常执行的,然而虽然如此,payload可能会引发一些js语法异常,扩展只需检测这些异常就可以
2、而后提示用户错误位置,错误内容,错误的行数,以这种方式检测XSS,漏报少,但是代价是误报较高
使用说明:
文件夹格式插件安装:
1、户点击谷歌浏览器右上角的自定义及控制按钮,在下拉框中选择设置
2、在打开的谷歌浏览器的扩展管理器最左侧选择扩展程序
3、选择研发者模式,点击加载已解压的扩展程序,将文件夹选择即可安装插件
.crx文件格式插件安装:
1、用户点击谷歌浏览器右上角的自定义及控制按钮,在下拉框中选择设置
2、在打开的谷歌浏览器的扩展管理器最左侧选择扩展程序或直接输入:chrome://extensions/
3、找到自己已经下载完的Chrome离线安装文件xxx.crx,而后将其从资源管理器中拖动到Chrome的扩展管理界面中,这个时候候用户会发当前扩展管理器的中央部分中会多出一个拖动以安装的插件按钮
4、松开鼠标就可以将当前正在拖动的插件安装在谷歌浏览器中去,但是谷歌考虑用户的安全隐私,当用户松开鼠标后还会给予用户一个确认安装的提示
5、点击添加按钮就可以将该离线Chrome插件安装在谷歌浏览器中去,安装成功之后该插件会即刻显示在浏览器右上角
6、如果没有插件按钮的话,用户还可以通过Chrome扩展管理器找到已经安装的插件
通过上面的介绍,我们队这款XssSniper软件也有了更多的了解,有需要这款xss漏洞检测插件的您可以参考本文内容下载下来尝试一下。
