Contents

sleep puppy是owasp出品的一个XSS工具,官方描述是Sleep Puppy是一个XSS payload管理框架,可以长期的管理,跟踪XSS的传播。

跟国内的xssme一样,定位于xss的利用和盲打。老外特地提到了盲打这个场景,只是他们换了一个说法,貌似blind xss在英语中有歧义,所以他们使用了Delayed XSS Testing这个词。认为delayed xss是存储型XSS的一个变种,是说安全测试插入的XSS payload通过数据传递在另外一个不同的应用中触发。

#安装
这里使用docker测试,优点是快速方便,缺点是不支持TLS,存在默认密码。按照官方指南安装

#主要功能模块

assessments用来描述不同的测试会话,相当于xssme的项目。不同的项目可以分别设置不同的提醒邮件之类的。

payload用来管理不同的XSS payload,默认有七个。

PuppyScripts 管理victim上执行的js代码。默认的js脚本可以获取访问页面的dom树和页面截图,这个还是比较不错的。
当然也可以自定义收集的信息,使用generic collector。

capture是payload被触发,接收到的数据的地方。

Contents