it-swarm-tr.com

Yeni XSS cheatsheet?

Burada XSS vektörlerinin büyük bir listesi var: http://ha.ckers.org/xss.html , ancak son zamanlarda çok fazla değişmedi (örneğin, belirtilen son FF sürümü 2.0) .

Bu kadar iyi, ama güncel başka bir liste var mı?

50
naugtur

Son zamanlarda gördüğüm en yeni yenisi burada http://html5sec.org/ Tarayıcı desteği olan vektörlerin iyi bir listesi kaydedildi ve daha belirsiz olanlardan birkaçına sahip.

25
Rory McCune

XSS'yi gerçekten anlamak istiyorsanız, OWASP'ın XSS Önleme Hile Sayfasını şiddetle tavsiye ederim. Saldırıya odaklanmadı, geliştiricilerin bu sorunları en başta önlemelerine yardımcı olmaya odaklandı. http://www.owasp.org/index.php/XSS_ (Cross_Site_Scripting) _Prevention_Cheat_Sheet

12
planetlevel

Evet, fuzzdb adresinden http://code.google.com/p/fuzzdb/ :

fuzzdb, bilinen saldırı kalıplarını, öngörülebilir kaynak adlarını ve sunucu yanıt mesajlarını toplayarak, kapsamlı, tekrarlanabilir bir hatalı biçimlendirilmiş girdi testi vakaları kümesi oluşturarak uygulamalardaki güvenlik kusurlarını tanımlamaya yardımcı olur.

fuzzdb, saldırı yüklerinin harika bir listesine sahiptir.

9
Tate Hansen

RSnake'in XSS kazak (bağlandığınız) hala kesin kaynaktır ve hatta OWASP'nin güvenli kodlama kılavuzunda (buna karşılık PCI: DSS tarafından referans verilir) başvurulur.
Doğru, RSnake bu şeylerden bir adım geri attığı için, ilerlemek bu değişebilir, ama şu andan itibaren gidilecek yer.


[~ # ~] güncelleme [~ # ~] : RSnake resmi olarak blogdan çekildi ve beyan etti kazandığını ' t herhangi bir güncelleme yapmak. Bu yüzden bu, geçen aya kadar güncel olsa da, görünüşe göre artık değil.

3
AviD

Yeni bir xss hile sayfası var, tüm modern tarayıcılarda çalışan büyük miktarda vektör içeriyor.

LINK: http://packetstormsecurity.com/files/download/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf

1
Danish