Snuck - 自动XSS过滤器旁注工具

Snuck是一个用Java编写的开源工具，其目标是通过在反射上下文的基础上专门化注入来显着测试给定的XSS过滤器。它采用的方法基于对注入反射上下文的检查，并依赖于一组用于过滤器规避的专用和混淆的攻击向量。此外，XSS测试是在浏览器中执行的，真实的Web浏览器是在复制攻击者和可能的受害者行为的驱动下驱动的。Snuck与典型的Web安全扫描程序完全不同，它基本上试图通过专门化注入来破坏给定的XSS过滤器，以提高成功率。基于反射上下文选择攻击向量，反射上下文是注入落入反射网页的DOM的确切点。可以通过Selenium Web Driver访问页面的DOM，Selenium Web Driver是一个自动化框架，允许在Web浏览器中复制操作。 由于在“ 激活 ” XSS过滤器之前可能涉及许多步骤，因此应 ………………………………