ابزار XSpear یک ابزار قدرتمند به منظور اسکن و تجزیه و تحلیل پارامترها و مبتنی بر زبان برنامه نویسی روبی (Ruby) می باشد، که بصورت داینامیک و استاتیک به تحلیل آسیب پذیری XSS می پردازد. این ابزار قادر به اسکن، شناسایی و آنالیز آسیب پذیری های بالقوه XSS بر روی وب اپلیکیشنها است.
آسیب پذیری XSS یکی از رایج ترین آسیب پذیریهای سطح وب اپلیکیشنها است که براساس عدم تایید درست ورودی های کاربر می تواند رخ دهد. این آسیب پذیری نوعی از حمله های تزریق میباشد که در آن دستورات و اسکریپتهای مخرب به وبسایتهای دارای این نوع آسیب پذیری، تزریق میشوند. حملههای XSS هنگامی رخ میدهند که هکر از یک برنامه تحت وب به منظور ارسال کد مخرب، عموما به صورت یک اسکریپت سمت مرورگر، به یک کاربر نهایی دیگر استفاده میکند. این آسیب پذیری به صورت پیوسته در لیستی که توسط موسسه OWASP در مورد ده آسیب پذیری پر چالش منتشر میشود، وجود دارد.
ابزار XSpear، میتواند آسیبپذیریهای XSS را بر روی برنامههای تحت وب شناسایی و آنالیز کند.
ویژگی های کلیدی XSpear عبارتند از:
- Pattern matching based XSS scanning
- Detect alert confirm prompt event on headless browser (with Selenium)
- Testing request/response for XSS protection bypass and reflected(or all) params
- Testing Blind XSS (with XSS Hunter , ezXSS, HBXSS, Etc all url base blind test…)
- Dynamic/Static Analysis
- Scanning from Raw file(Burp suite, ZAP Request)
- XSpear running on ruby code(with Gem library)
- Show table base cli-report and filtered rule, testing raw query (url)
- Testing at selected parameters
- Support output format cli json html
- Support Verbose level (0~3)
- Support custom callback code to any test various attack vectors
- Support Config file
در ویدئو زیر که توسط مهندس نیما دباغی تهیه شده است، می توانید با نحوه استفاده از این ابزار آشنا شوید:
