Outil de test X5

Original: http://www.casaba.com/products/x5s/


X5 est un plugin pour la libre proxy HTTP Fiddler qui injecte activement les cas de test minuscules dans chaque entrée contrôlée par l’utilisateur d’une application Web dans le but d’obtenir et d’identifier les problèmes de codage qui pourraient conduire à XSS vulnerbility.

X5 a été publié sous licence Open Source sur CodePlex. Télécharger X5S cross-site outil de test de script à partir de CodePlex.

L’outil X5 a été construit pour stylo-testeurs, et alors qu’il automatise l’injection de sondes de caractères, elle nécessite un examen manuel des résultats. X5 va au-delà des tests traditionnels de cross-site scripting par injection caractères Unicode spéciaux et séquences d’octets qui peuvent produire des transformations exploitables dans une application Web. X5 envoie des sondes de caractères minuscules, des charges utiles XSS pas plein, afin qu’il puisse détecter la manière dont les caractères ont été injectés ou transformés codés. Cela a pour effet net de donner un testeur de sécurité une vue rapide dans tous les endroits où l’utilisateurentrée a été émis plus tard sur une page Web.

L’information sur cette page est juste destiné à donner un aperçu rapide à l’outil, se il vous plaît se référer au tutoriel et une documentation complète sur CodePlex lorsque vous êtes prêt à en savoir plus. Le tutoriel a été réalisé pour vous aider à démarrer rapidement tester des questions XSS avec l’outil. La documentation complète est également disponible qui décrit comment les choses fonctionnent. Est illustré ci-dessous une capture d’écran des paramètres de configuration. L’outil vous permet de contrôler les points d’auto-injection, une chaîne ‘préambule’ il utilise pour identifier ses charges utiles, et un filtre de domaine de sorte que vous pouvez limiter les essais à un domaine spécifique.

x5s XSS testing Configuration

Montre les configurations de cas de test disponible la prochaine capture d’écran. Essentiellement, vous aurez à choisir quels personnages vous voulez injecter dans les paramètres d’entrée de la web-app. Ceux-ci sont envoyés un à la fois, par paramètre, de sorte que le nombre de cas de test augmente avec chaque personnage que vous choisissez. Dans ces paramètres, qui sont chargées depuis un fichier XML, vous pouvez modifier ou personnaliser, vous avez accès à des cas de test transformables, traditionnelles, et trop long.

x5s XSS character configuration

La dernière capture d’écran vous montre l’onglet Résultats, une grille de données vous donne un accès visuel rapide à tous les points le cas de test a été émis, ainsi qu’une analyse de savoir si elle a été codé ou transformé. Lorsque vous testez une application qui retourne grands ensembles de résultats, vous pouvez rapidement faire défiler la liste à identifier les points qui semblent vulnérables à vous. Ou vous pouvez cliquer sur le filtre ‘Show Hotspots à laisser X5 vous montrent les taches qu’il pense ont des problèmes de codage ou de transformation.

x5s XSS Results

Comments are closed.