it-swarm.dev

Nuovo cheatsheet XSS?

C'è un grande elenco di vettori XSS disponibili qui: http://ha.ckers.org/xss.html , ma non è cambiato molto di recente (es. L'ultima versione di FF menzionata è 2.0) .

C'è qualche altro elenco buono come questo, ma aggiornato?

50
naugtur

Il migliore nuovo che ho visto di recente è qui http://html5sec.org/ buon elenco di vettori con il supporto del browser notato e ne ha parecchi di quelli più oscuri.

25
Rory McCune

Se vuoi davvero capire XSS, consiglio vivamente il Cheat Sheet di XW Prevenzione di OWASP. Non si concentra sull'hacking, si concentra sull'aiutare gli sviluppatori a prevenire questi problemi in primo luogo. http://www.owasp.org/index.php/XSS_ (Cross_Site_Scripting) _Prevention_Cheat_Sheet

12
planetlevel

Sì, prendi fuzzdb da http://code.google.com/p/fuzzdb/ :

fuzzdb aiuta a identificare i difetti di sicurezza nelle applicazioni aggregando schemi di attacco noti, nomi di risorse prevedibili e messaggi di risposta del server per creare un set completo e ripetibile di casi di test di input non validi.

fuzzdb ha una grande lista di payload di attacco.

9
Tate Hansen

Il cheatheat XSS di RSnake (a cui ti sei collegato) è ancora praticamente il reesource definitivo, ed è persino indicato nella guida alla codifica sicura di OWASP (che a sua volta viene citata da PCI: DSS).
Vero, dal momento che RSnake sta facendo un passo indietro rispetto a quella roba, andare avanti potrebbe cambiare, ma per ora è il posto dove andare.


[~ # ~] update [~ # ~] : RSnake si è ufficialmente ritirato dal blog e dichiarato che ha vinto ' fare aggiornamenti. Quindi, anche se questo potrebbe essere stato aggiornato fino al mese scorso, a quanto pare non lo è più.

3
AviD

C'è stato un cheat sheet xss recentemente disponibile, che contiene enormi quantità di vettori che funzionano su tutti i browser moderni.

LINK: http://packetstormsecurity.com/files/download/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf

1
Danish