我在江北學安全（六） XSS-Scan系統原理圖解分析 及 XSSer程式碼分析

本文部分資料來源於沈壽忠 ，張玉清的《基於爬蟲的XSS漏洞偵查工具設計與實現》：http://download.csdn.net/detail/xihuanqiqi/4655513
一 XSS-Scan系統原理圖解分析 他們寫的這個系統模組還算是比較清晰易懂，我的解讀如下：1.首先用Crawler模組對頁面進行URL抓取（就是講URL放到一個叫Crawler URL Queue的隊列中）2.把抓取的URL進行請求，擷取這個web頁面的HTML代碼3.對這個web頁面進行分析，在分析中對這個URL進行“能否注入測試”，我認為就是判斷是否URL中是否有參數傳遞，如果可以注入，就把這個URL放到TestURLQueue隊列中，進行下一步的Tesing模組。同時會這個URL的資訊加入到URL HashTable中，並且不斷深度抓取下一個URL放到CrawlerURLQueue中。4.不斷地從TestURLQueue隊列中取出記錄進行測試，如果測試有漏洞就記錄，沒有就迴圈直至TestURLQueue為空白且CrawlerURLQueue為空白。===================================1.系統模組2.Crawler模組

3.Testing 模組4.web頁面分析模組二 XSSer程式碼分析