Sono consapevole che esistono vari strumenti per testare le vulnerabilità XSS. Tuttavia, tutti quelli di cui sono a conoscenza (Vega, possibilmente BeEF, ecc.) Operano puramente sul lato client. Quando si testano specificatamente le vulnerabilità XSS memorizzate , sembra che sia utile modificare direttamente i dati memorizzati sul server. Ad esempio, anche se il filtro di input normalmente protegge da XSS memorizzato, l'iniezione SQL potrebbe ancora essere un modo per introdurre HTML dannoso nell'output della pagina (anche se in modo indiretto).
Esistono strumenti in grado di modificare direttamente i record del database (o il contenuto del server simile), al fine di testare le potenziali vulnerabilità XSS memorizzate?
Ad esempio, utilizzando una connessione SQL legittima (e / o SQL injection) per inserire automaticamente dati dannosi nel DB, e quindi usando un web crawler per vedere se i dati dannosi sono debitamente escapati quando / se viene reso al pagina web.
Se no, c'è una ragione particolare per cui non è stato fatto, o è solo che nessuno ci ha ancora capito?
Non cerco necessariamente lo strumento "migliore", voglio solo sapere se qualsiasi esiste prima di iniziare a scrivere il mio.