ImXSS – JAVA版开源XSS漏洞测试平台

ImXSS介绍

ImXSS是国内首套Java研发的Xss跨站脚本测试平台。ImXSS前身是XssAPP,秉承高效、快速、稳定、易用的原则。主要用于技术研究与交流。跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。

ImXSS - JAVA版开源XSS漏洞测试平台
ImXSS主界面

ImXSS安装

  1. git clone https://gitee.com/coodyer/imxss.git
  2. 请将本项目打包成War,放置Tomcat下运行
  3. 访问安装

什么是XSS

动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。

用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。

类似的XSS开源平台还有ezXSS