السلام عليكم ورحمة الله وبركاته

نستعرض اليوم تعريف بأداة XSSYA وعرض لمميزاتها وطريقة عملها وشرح مبسط لها ثم نتعرف على مطور الأداة .

ما هى اداة XSSYA:

هى اداة عربية جديدة مبرمجة بلغة البايثون تقوم بفحص تطبيقات الويب من ثغرات Cross Site Scripting وتقوم ايضا بالتأكد من وجود الثغرة واكتشاف اذا كانت الثغرة موجودة او النتيجة كانت خطأ false +ve.

مميزات الأداة:

  • تدعم برتوكول  HTTPS
  • تعمل على لينكس وويندوز
  • تستطيع التعرف على على نوع الفايرول المركب على تطبيق الويب (Mod_Security – WebKnight – F5 BIG IP)
  • تخطى الفايرول عن طريق تشفير البايلود
  • تقوم بتنفيذ البايلود مباشرة بعد التأكد من ان الرابط مصاب

طريقة عملها :

تقوم الأداة بتشفير البايلود من اجل تخطى الفايرول ثم تقوم بالبحث عن قيمة البايلود بعد فك تشفيره  فى اكواد HTML للصفحة المصابة والتأكد من وجود البايلود ثم تقوم بتنفيذ البايلود .

شرح الأداة :

نقوم بتشغيل الأداة ثم اضافة الرابط “لاحظ الصورة ” :

 

xssya

1/نريد ان نتأكد من ان الرابط مصاب بثغرة xss بدون اللجوء الى المتصفح:

نضيف الرابط ثم نختار رقم 1 :

x2

تقوم الأداة بتجريب البايلود الم الأن فتكون النتيجة اما ان الرابط غير مصاب كالتالى:

x3

او الرابط مصاب فيتم تنفيذ البايلود مباشرة وعرض النتيجة كالتالى:

 

 

x4

2/ فحص الموقع من ثغرات  xss:

نضيف الرابط ونختار رقم 2

x5

سيتم فحص الرابط بإستخدام حوالى 28 بايلود مختلف وسيعرض لك اذا كان الرابط مصاب او لا .

رابط الأداة :

https://github.com/yehia-mamdouh/XSSYA

مطور الأداة :

يحيى ممدوح باحث امنى مصرى ومختبر اختراق لتطبيقات الويب  له اسهامات كبيرة فى عالم امن المعلومات .

 شاركونا بأرائكم فى الأداة حتى يتم تطويرها !!