XssSniper官方版

现在很多插件都不需要特别下载,只需要简简单单的浏览器插件就可以了,这款XssSniper官方版是一款专业的chrome插件,它的作用是帮助网站安全维护人员发现隐藏于网页中的DomXSS，反射式XSS，JONPXSS以及SOME漏洞,如果您也是做网站安全相关的行业的话这款XssSniper官方版还是非常友好的!

XssSniper官方版原理:

第一种方法:FUZZ

这种检测方法误报率非常低,只要是检测出来的一定都是都是存在漏洞的。但是代价是漏报率也比较高。 具体来说是在当前页面中创建一个隐形的iframe,在这个iframe中采用不同字符组合截断的payload去fuzz当前页面中的每个url参数,以及location.hash参数。如果payload执行,说明漏洞一定存在。

第二种方法:监控js错误变化

如果xss存在方式比较隐蔽,或者需要非常复杂的字符组合来截断的话,payload是无法正常执行的,然而尽管如此,payload可能会引发一些js语法异常,扩展只需要检测这些异常就可以。然后提示用户错误位置,错误内容,错误的行数,让用户手工去 因此以这种方式检测XSS,漏报少,但是代价是误报较高。

XssSniper官方版安装方式:

1、在打开的谷歌浏览器的扩展管理器最左侧选择扩展程序或直接输入：chrome://extensions/。

2、将开发者模式打勾。

3、将解压出来的crx文件拖入到浏览器中即可安装添加。