XSSHunter – 交互式XSS专测

产品概述

XSSHunter是SecZone自主研发的XSS漏洞扫描工具。XSSHunter通过对XSS漏洞原理、攻击方式、抵御方法和检测手段的长期研究积累,设计研发出了专门应用于Web应用系统开发过程,并采用由执行功能测试的QA提供所有交互数据的方式,深入准确的检测出Web应用系统中存在XSS漏洞。该产品极大提高了Web应用的XSS漏洞测试效率和准确率,满足企业团队在不同开发模式下的安全测试需求。

产品功能

XSSHunter针对应用系统能够快速扫描、准确定位、全面检测各类XSS漏洞(包括:反射型、存储型和DOM型)。

| 自定义测试载荷

XSSHunter深度解析获取到的请求数据,自动识别数据格式类型,并生成对应的测试载荷。另外,XSSHunter可对每个有效参数(包括JSON和XML内部数据项)提供自定义的载荷测试,识别问题并以Bug的形式呈现。该功能除检测XSS外,还可对不同属性的数据内容进行筛选。

| 动态构建攻击载荷

XSSHunter基于测试载荷的输出位置,动态构建攻击载荷来确定XSS漏洞。该功能实现对不同输出点采用针对性的攻击载荷,从而避免单一类型的测试载荷导致测试结果不准确。

数据服务接口

XSSHunter数据服务模块提供REST形式的访问接口,可以获取每个页面请求信息,实现功能扩展。

| 自定义插件加载

XSSHunter支持对所有的关键步骤都动态加载用户自定义的插件。比如,可定制哪些请求不需要处理、需要对输入参数做哪些修改、对服务端的响应做哪些处理等。

产品优势

XSSHunter检测技术使用了SecZone独有的专利技术。经实践证明,可大幅度提高检测效率和准确性。

| 高检测效率和准确度

XSSHunter融合IAST和DAST的技术优点,极大提高Web应用安全漏洞检测的效率和准确度,并能适应传统CMMI开发流程和敏捷开发流程,满足企业在不同开发模式下的安全测试需求。

| 多数据格式支持

XSSHunter支持主流的JSON和XML数据格式,并能自动构建测试用例。这将革命性的提升对目前各种非标准主流HTTP请求的测试覆盖率和准确率。

| 无检测过程感知

XSSHunter采用中间代理的模式,用户不会感知到检测工具扫描执行过程。XSSHunter对用户无技术要求,能适用于广泛的使用场景,也适用于基于敏捷开发模式下随时随需使用的特点。安全检测人员无需等待漫长的扫描测试周期,也无需迷茫的期待扫描工具是否有新的扫描发现。