Leitor XSS
Cross-Site Scripting (XSS) é uma das vulnerabilidades de aplicativos da Web mais conhecidas. Ele ainda tem um capítulo dedicado no projeto OWASP Top 10 e é uma vulnerabilidade altamente perseguida em programas de recompensas de bugs.
O scanner obtém um link do usuário e verifica o site em busca de vulnerabilidade XSS injetando scripts maliciosos no local de entrada. A injeção acontece em um navegador sem cabeça chamado Chromium e controlado pela automação do Puppeteer.
Funciona em duas etapas:
Encontre o alvo: Nesta primeira etapa, a ferramenta tenta identificar todos os locais da página, incluindo parâmetros injetáveis em formulários, URLs, cabeçalhos, etc.
Teste para XSS: Para cada local descoberto na etapa anterior, o scanner tentará detectar se os parâmetros são vulneráveis a Cross-Site Scripting. A ferramenta injeta um pedaço de código JavaScript, incluindo alguns caracteres HTML especiais (>, <, ", ') e tentará ver se eles são retornados na página de resposta sem sanitização. Se a ferramenta detectar pelo menos uma vulnerabilidade, ela retornará que o site tem vulnerabilidade XSS.
tecnologias
marionetista
Javascript
NodeJS
Expressar
Como instalar
Clone o repositório:
git clone MariaGarber/XSS-Scanner
Entre na pasta clonada:
cd XSS-Scanner
Instale as dependências:
npm install
Execute o aplicativo:
npm start
Abra o navegador em http://localhost:4000/