Вышла 5 версия одного из самых мощных инструментов для поиска и эскплутации XSS DOWNLOAD Новое в 5 версии ------------------ Xenotix Скриптовый движок Xenotix API V4.5 Исправлены ошибки GET Network IP (Сбор информации) QR Генератор кода для Xenotix xook HTML5 Получить скриншот с веб камеры(Exploitation Module) HTML5 Получить скриншот страницы (Exploitation Module) Множество дополнительных действий и полезных нагрузок. Количество пэйлодов увеличено до 1630 Небольше фиксы Требования ------------------- Microsoft .NET Framework 4.0 http://www.microsoft.com/en-in/download/details.aspx?id=17718 IronPython 2.7.3 http://ironpython.codeplex.com/downloads/get/423690 Немного дополнительной информации http://stackoff.ru/poisk-xss-znachitelno-uproshhaetsya/ Многие недооценивают межсайтовый скриптинг и делают это напрасно. Я не буду повторять строки Митника про самое слабое звено в системе, а расскажу про один из инструментов для поиска XSS. Если более правильно, то это даже не один, а целая сборка инструментов в одном пакете, и имя ему OWASP Xenotix XSS Exploit Framework. Сам фреймворк включает в себя 3 браузерных движка: Trident, WebKit и Gecko, которые являются основой распространённых браузеров (IE, Chrome, Firefox). Думаю вам понятно, что некоторые виды атак применимы только для отдельного движка. Для использования этой машины-убийцы, первым делом необходимо запустить сервер. Делается это через “Settings” -> “Configure server”. Вбиваем IP и порт, отныне сервер будет доступен по этому адресу до тех пор, пока вы не закроете окно с этими настройками. Если погулять по меню, можно обнаружить множество вспомогательных функций. Поскольку при старте доступно 1520 пэйлоадов, с этим можно не заморачиваться, тут есть почти всё, что можно представить на данный момент. Весь процесс работы с программой разбит на 4 части: процесс сканирования сбор информации эксплуатация работа с дополнительными утилитами Подробно останавливаться на этом я не буду, вроде всё интуитивно понятно. Из основного стоит уделить внимание на выбор метода: ручного или же автоматического. Я обычно использую ручной режим, тогда легче понять каким образом идёт тестирование и какие результаты получаются. Для того, чтобы было видно какой мощью обладает данный инструмент, прилагаю видео. https://www.youtube.com/watch?v=dCo5BCJWOdA
OWASP Xenotix XSS Exploit Framework v6 выпущен видео новых возможностей https://www.youtube.com/watch?v=RhGVuus_NJw подробности http://seclists.org/webappsec/2014/q3/7
Скачал я эту программу, по моему вещь стоящая, но во первых полный инглиш, я в этом дуб, во вторых кроме инглиша еще и сама программа слишком сложная, видео на инглише абсолютно непонятное, есть ли что нибудь такое чтобы по русски можно было понять что это за программа.
