it-swarm-vi.com

Áo choàng XSS mới?

Có một danh sách lớn các vectơ XSS có sẵn ở đây: http://ha.ckers.org/xss.html , nhưng gần đây nó không thay đổi nhiều (ví dụ: phiên bản FF mới nhất được đề cập là 2.0) .

Có bất kỳ danh sách khác tốt như thế này, nhưng cập nhật?

50
naugtur

Cái mới tốt nhất tôi thấy gần đây là ở đây http://html5sec.org/ danh sách các vectơ tốt với sự hỗ trợ của trình duyệt được ghi nhận và có khá nhiều trong số những cái tối nghĩa hơn.

25
Rory McCune

Nếu bạn thực sự muốn hiểu XSS, tôi thực sự khuyên bạn nên XSS Ngăn chặn Cheat Sheet của OWASP. Nó không tập trung vào hack, nó tập trung vào việc giúp các nhà phát triển ngăn chặn những vấn đề này ngay từ đầu. http://www.owasp.org/index.php/XSS_ (Cross_Site_Scripting) _Prevent_Cheat_Sheet

12
planetlevel

Có, lấy fuzzdb từ http://code.google.com.vn/p/fuzzdb/ :

fuzzdb giúp xác định các lỗi bảo mật trong các ứng dụng bằng cách tổng hợp các kiểu tấn công đã biết, tên tài nguyên có thể dự đoán và thông báo phản hồi của máy chủ để tạo ra một tập hợp toàn diện, lặp lại các trường hợp kiểm tra đầu vào không đúng định dạng.

fuzzdb có một danh sách lớn các tải trọng tấn công.

9
Tate Hansen

Bộ quần áo XSS của RSnake (mà bạn đã liên kết) vẫn còn khá nhiều nguồn tài nguyên chính xác và thậm chí nó còn được tham chiếu trong hướng dẫn mã hóa bảo mật của OWASP (lần lượt được tham chiếu bởi PCI: DSS).
[.__.] Đúng, vì RSnake đang lùi một bước khỏi công cụ đó, nên việc chuyển tiếp này có thể thay đổi, nhưng đến bây giờ thì đó là nơi cần đến.


[~ # ~] cập nhật [~ # ~] : RSnake đã chính thức rút lui khỏi blog và tuyên bố rằng anh ấy đã thắng ' t được thực hiện bất kỳ cập nhật. Vì vậy, trong khi điều này có thể đã được cập nhật cho đến tháng trước, rõ ràng nó không còn nữa.

3
AviD

Đã có một bảng cheat xss mới có sẵn, nó chứa một lượng lớn các vectơ hoạt động trên tất cả các trình duyệt hiện đại.

LIÊN KẾT: http://packetstormsecurity.com/files/doad/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf

1
Danish