Fiddler使用X5S插件查找XSS漏洞

一、X5S是什么

1、X5S是专门帮助渗透测试人员查找网站的XSS漏洞的,是Fiddler中的一个插件,是一个WebDebugging Proxy;

2、X5S使用fiddler的包记录技术,并通过在每个请求中添加一条序文(Preamble),来找出包中的哪些请求可能存在XSS漏洞。但用户需要了解XSS和encoding编码知识,因为所有和XSS相关的工作都要手动完成。

3、X5S就是去检测需要用户输入的地方有没有被正确编码。有时Unicode字符转换可能bypass一些安全过滤,所以也会检测这种字符转换。

4、该插件会查看URL中的请求和响应,之后尝试注入XSSpayloads来确定是否存在XSS漏洞

********需要注意的是:该工具基本上只能检测反射型XSS问题,不能检测基于DOM的XSS漏洞,也不能检测存储型XSS,因为这种漏洞的数据不会在请求和响应的参数中出现。要想检测这两种漏洞,读者需要用额外的工具。

二、X5S的下载安装

1.下载地址:http://xss.codeplex.com/releases/43170/download/115610

2.下载后直接安装,重启fiddler后,可以看到X5S的插件标签入口,如:


Fiddler使用X5S插件查找XSS漏洞_第1张图片
1.png

三、X5S的配置

1.进入Fiddler,打开X5S标签,选择顶部的enable复选框,之后在Preamble文本框输入XSS。这里可以输入任意单词,但要确保不是常见的词,X5S会用该选项注入请求的每个参数中。

2.选择“EnableDomain Name Targeting”前面的复选框,并添加域名,这里可以添加所有想要测试的域名,而且可以添加多个

3.选中“Request”和“Responses”前面的复选框,并在“AutoInjection Options”下选中所有复选框

配置后如下:


Fiddler使用X5S插件查找XSS漏洞_第2张图片
2.png

四、测试用例配置

1.X5S的标签下面还有三个子标签,单击第二个“TestCase Configuration”,在该标签下可以配置X5S的测试用例,即探测字符,包含三种类型:

(1)可转换测试用例(Transformable):探测字符可能是大写的、小写的、以及转换为其它形式

(2)传统测试用例(Traditional): XSS注入使用的字符。这些注入字符包括”、’、<和>。如果不经过适当过滤,这些字符可能是引起XSS漏洞的主要问题所在。

(3)超长UTF-8测试用例(Overlong):这种测试用例会注入non-shortestUTF-8编码或传统测试用例,例如ASCII字符<的UTF-8格式为0x3C。

选择想要测试的字符。这里可以选择任意多个,或直接全选。之后就可以开始XSS攻击,挖掘注入点了


Fiddler使用X5S插件查找XSS漏洞_第3张图片
3.png

五、测试结果查看

1、开始一个页面一个页面地测试所有forms,测试后在Result标签查看扫描结果。如果显示搜索结果,说明网站可能存在XSS漏洞。单击其中的任意一条扫描结果,可以在下面的文本区域查看细节描述。


Fiddler使用X5S插件查找XSS漏洞_第4张图片
4.png

2、选择某条结果,下面的文本区域就会显示细节描述,如加上XSS字符后是如何发现preamble的。查看细节描述并分析,描述中的红字部分,显示了页面中preamble的信息。

下一步要做的就是查找疑似包含漏洞的URL。Fiddler左侧记录了之前访问过的URL,我们要做的就是找出包含漏洞的URL请求。查看记录,找到用灰色高亮的请求地址。如下图所示:


Fiddler使用X5S插件查找XSS漏洞_第5张图片
5.png

3、查找疑似包含漏洞的URL。Fiddler左侧记录了之前访问过的URL,我们要做的就是找出包含漏洞的URL请求。查看记录,找到用灰色高亮的请求地址,右击该条记录,选择copy下的“JustURL”,拷贝该请求URL


Fiddler使用X5S插件查找XSS漏洞_第6张图片
6.png

4、打开浏览器,将该地址拷贝到浏览器,并用自己的XSS payloads替换地址中的preamble字符

常见的XSS payloads如下:


“>

“)
“>

这种情况下有很多XSS payloads可用,上文中的这些payloads如果显示一个Javascript警告框并显示1,就说明执行成功了。因为在payloads中插入 了alert(1),弹出了对话框就表示网站执行了我们的自定义脚本,也就是说该站存在XSS漏洞。


Fiddler使用X5S插件查找XSS漏洞_第7张图片
7.jpg

六、总结

X5S是一个很不错的Fiddler插件,可以用作查找XSS漏洞的渗透测试工 具。不过只有理解了XSS的基本原理,以及存在多少种方法注入Javascript代码之后再使用该工具。如果用户不擅长手工XSS测试,该工具无疑只是 个鸡肋。但对专业XSS测试人员,使用该工具可能是查找web应用的XSS漏洞的最快方式。通过本文的示例可知,该工具找到了所有可能存在XSS漏洞的可 疑热点(hotspots),用户只需要测试这些热点,并确认哪里可以执行外部脚本,如果可以注入就表示成功了。否则就继续测试,直到测试完所有的XSS payloads。

你可能感兴趣的:(Fiddler使用X5S插件查找XSS漏洞)