Ratproxy -- Google 的 XSS 检测工具

作者:
Fenng
| 可以转载, 转载时务必以超链接形式标明文章原始出处和作者信息及
版权声明
网址:
http://www.dbanotes.net/security/ratproxy_google_xss.html
跨站
[url=javascript:;]脚本[/url]
攻击(
[url=javascript:;]XSS[/url]
, Cross Site Scripting) 可能是目前所有网站都比较头疼的问题，
[url=javascript:;]Google[/url]
也不例外。这次 Google 又做了一次雷锋，把内部用来审计 XSS 的工具开源了：
ratproxy
。


Google_ratProxy.png
Ratproxy 工作流程：

• 1) 运行脚本后，会在本地启动一个代理服务器，默认端口是 8080 ；
  
• 2) 浏览器设置这个地址 (http://localhost:8080)为 代理地址 ；
  
• 3) 浏览要测试的 Web 页面，进行实际登录，填写表单等操作(这些动作会被代理服务器捕捉并做点"手脚"发给待检测的页面)，ratproxy 会在后台记录相关的 Log ；
  
• 4) 用 ratproxy 提供的工具解析 Log 并输出 HTML 进行分析；
  
• 5) 修正比较严重的问题后，跳回到第一步，直到评估通过为止。

在我的 Ubuntu 下测试了一下，需要说一下的是，本地系统需要
[url=javascript:;]安装[/url]
libssl-dev 与 openssl 。
$ sudo apt-get install libssl-dev openssl
$ cd ratproxy ;  make
然后就可以提交类似:
$ ./ratproxy -v . -w foo.log -d foo.com -lfscm 然后，人肉点击相关的页面进行测试了。这个工具的设计思路还是很值得借鉴的，推荐对
[url=javascript:;]安全[/url]
感兴趣的同学读一下
[url=javascript:;]源代码[/url]
。
ratproxy 的作者是
MIchal Zalewski
，一个波兰的白帽子
[url=javascript:;]黑客[/url]
。他的
个人主页
上能找到更多有趣的工具。
--EOF--
另参见另一份
试用报告


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/4206/showart_1358955.html

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有