XssSniper(发现XSS漏洞插件) V1.1.37 Chrome版

是chrome浏览器上插件，它帮助网站安全维护人员发现隐藏于网页中的DomXSS、反射式XSS、JONP XSS以及SOME漏洞。

【插件原理说明】

　　本扩展采用了两种方法去检测DOMXSS。

　　第一种方法:FUZZ

　　这种检测方法误报率非常低,只要是检测出来的一定都是都是存在漏洞的。但是代价是漏报率也比较高。 具体来说是在当前页面中创建一个隐形的iframe,在这个iframe中采用不同字符组合截断的payload去fuzz当前页面中的每个url参数,以及location.hash参数。如果payload执行,说明漏洞一定存在。

　　第二种方法:监控js错误变化

　　如果xss存在方式比较隐蔽,或者需要非常复杂的字符组合来截断的话,payload是无法正常执行的,然而尽管如此,payload可能会引发一些js语法异常,扩展只需要检测这些异常就可以。然后提示用户错误位置,错误内容,错误的行数,让用户手工去 因此以这种方式检测XSS,漏报少,但是代价是误报较高。