我们的公司对于持续集成(CI)来说还很陌生,它使用Codeship来帮助完成自动化任务。传统上,我们使用XSS Me Firefox Add-on手动测试了XSS漏洞。因为我们每年都会生产和维护大量站点,所以我们希望在部署过程中自动执行此XSS测试。但是,我还没有找到这样的工具。
有没有可以很好地与CI配合使用的XSS测试工具?我们没有嫁给Codeship。如果那里有更合适的CI服务,我们将毫无疑问地跳船。双关打算。
最佳答案
将Codeship视为一个可以在其中运行一些应用程序的操作系统。我使用Wapiti进行安全性测试。
您可以运行Wapiti,然后将报告部署到其他服务器。
运行Wapiti。
wget http://downloads.sourceforge.net/project/wapiti/wapiti/wapiti-2.2.1/wapiti-2.2.1.zip
unzip wapiti-2.2.1.zip
cd wapiti-2.2.1/src/
chmod -x wapiti-2.2.1/bin/wapit
python wapiti.py http://www.exemple.com/ -o report
有关更多信息,请参见:http://wapiti.sourceforge.net/
关于security - 在持续集成环境中测试跨站点脚本(XSS)漏洞,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/26917476/