it-swarm-eu.dev

Nový XSS cheatsheet?

Zde je skvělý seznam vektorů XSS: http://ha.ckers.org/xss.html , ale v poslední době se příliš nezměnil (např. Poslední uvedená verze FF je 2.0) .

Je nějaký jiný seznam tak dobrý, jako je tento, ale aktuální?

50
naugtur

Nejlepší nový, který jsem v poslední době viděl, je zde http://html5sec.org/ dobrý seznam vektorů s podporou prohlížeče, který je uveden, a má několik těch nejasnějších.

25
Rory McCune

Pokud opravdu chcete porozumět XSS, důrazně doporučujeme OWASP XSS Prevence Cheat Sheet. Nejde o hackerství, ale především o pomoc vývojářům při předcházení těmto problémům. http://www.owasp.org/index.php/XSS_ (Cross_Site_Scripting) _Prevention_Cheat_Sheet

12
planetlevel

Ano, uchopte fuzzdb od http://code.google.com/p/fuzzdb/ :

fuzzdb pomáhá identifikovat bezpečnostní chyby v aplikacích agregováním známých vzorů útoků, předvídatelných názvů zdrojů a zpráv odezvy serveru a vytváří tak komplexní opakovatelnou sadu nesprávně formátovaných vstupních testovacích případů.

fuzzdb má velký seznam užitečných zatížení útoku.

9
Tate Hansen

RSnake's XSS cheatsheat (na který jste navázali spojení) je stále do značné míry konečným zdrojem a je dokonce odkazován na bezpečného průvodce kódováním OWASP (na který se zase odkazuje PCI: DSS).
Pravda, protože RSnake dělá krok zpět od těch věcí, vpřed se to může změnit, ale od této chvíle je to místo, kam jít.


[~ # ~] aktualizace [~ # ~] : RSnake oficiálně odešel z blogů a prohlásil , že vyhrál ' nebudu provádět žádné aktualizace. Takže i když to mohlo být až do minulého měsíce aktuální, zřejmě to už není.

3
AviD

K dispozici byl nově dostupný cheatový list xss, který obsahuje velké množství vektorů, které fungují ve všech moderních prohlížečích.

LINK: http://packetstormsecurity.com/files/download/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf

1
Danish