it-swarm-eu.dev

Neues XSS Cheatsheet?

Es gibt eine großartige Liste von XSS-Vektoren, die hier verfügbar sind: http://ha.ckers.org/xss.html , aber es hat sich in letzter Zeit nicht viel geändert (z. B. die zuletzt erwähnte FF-Version ist 2.0). .

Gibt es eine andere Liste, die so gut ist, aber aktuell?

50
naugtur

Die beste neue, die ich in letzter Zeit gesehen habe, ist hier http://html5sec.org/ Eine gute Liste von Vektoren mit Browserunterstützung, die notiert wurden, und einige der dunkeleren.

25
Rory McCune

Wenn Sie XSS wirklich verstehen wollen, empfehle ich dringend das XSS Prevention Cheat Sheet von OWASP. Es konzentriert sich nicht auf das Hacken, sondern darauf, Entwicklern dabei zu helfen, diese Probleme überhaupt zu verhindern. http://www.owasp.org/index.php/XSS_ (Cross_Site_Scripting) _Prevention_Cheat_Sheet

12
planetlevel

Ja, holen Sie sich fuzzdb von http://code.google.com/p/fuzzdb/ :

mit fuzzdb können Sicherheitslücken in Anwendungen identifiziert werden, indem bekannte Angriffsmuster, vorhersehbare Ressourcennamen und Serverantwortnachrichten zusammengefasst werden, um einen umfassenden, wiederholbaren Satz fehlerhafter Eingabetestfälle zu erstellen.

fuzzdb hat eine großartige Liste von Angriffsnutzdaten.

9
Tate Hansen

Der XSS-Cheatsheat von RSnake (mit dem Sie verlinkt haben) ist immer noch die endgültige Ressource, und er wird sogar im OWASP-Handbuch für sichere Codierung (auf das wiederum von PCI: DSS verwiesen wird) verwiesen.
Stimmt, da RSnake einen Schritt zurück von diesem Zeug macht, könnte sich dies in Zukunft ändern, aber ab sofort ist dies der richtige Ort.


[~ # ~] Update [~ # ~] : RSnake hat sich offiziell vom Bloggen zurückgezogen und erklärt dass er gewonnen hat ' Keine Aktualisierungen vornehmen. Während dies bis zum letzten Monat auf dem neuesten Stand war, ist es anscheinend nicht mehr so.

3
AviD

Es gab einen neu verfügbaren xss-Spickzettel, der eine riesige Menge an Vektoren enthält, die auf allen modernen Browsern funktionieren.

LINK: http://packetstormsecurity.com/files/download/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf

1
Danish