it-swarm-id.com

Cheat XSS baru?

Ada daftar besar vektor XSS yang tersedia di sini: http://ha.ckers.org/xss.html , tapi itu tidak banyak berubah belakangan ini (mis. Versi FF terbaru yang disebutkan adalah 2.0) .

Apakah ada daftar lain yang sebagus ini, tetapi mutakhir?

50
naugtur

Yang baru terbaik yang pernah saya lihat baru-baru ini ada di sini http://html5sec.org/ daftar vektor yang baik dengan dukungan peramban yang dicatat dan memiliki beberapa yang lebih tidak jelas.

25
Rory McCune

Jika Anda benar-benar ingin memahami XSS, saya sangat merekomendasikan XSS OWASP Pencegahan Cheat Sheet. Ini tidak berfokus pada peretasan, itu berfokus untuk membantu pengembang mencegah masalah ini sejak awal. http://www.owasp.org/index.php/XSS_ (Cross_Site_Scripting) _Prevention_Cheat_Sheet

12
planetlevel

Ya, ambil fuzzdb from http://code.google.com/p/fuzzdb/ :

fuzzdb membantu mengidentifikasi kelemahan keamanan dalam aplikasi dengan menggabungkan pola serangan yang diketahui, nama sumber daya yang dapat diprediksi, dan pesan respons server untuk membuat satu set lengkap, kasus pengulangan input pengujian yang salah yang dapat diulang.

fuzzdb memiliki daftar muatan serangan yang bagus.

9
Tate Hansen

Cheatsheat XSS RSnake (yang Anda tautkan) masih cukup banyak sumber daya definitif, dan bahkan direferensikan dalam panduan pengkodean aman OWASP (yang pada gilirannya direferensikan oleh PCI: DSS).
Benar, karena RSnake mengambil langkah mundur dari hal-hal itu, bergerak maju ini mungkin berubah, tetapi sampai sekarang itulah tempat untuk pergi.


[~ # ~] pembaruan [~ # ~] : RSnake telah secara resmi pensiun dari blogging, dan menyatakan bahwa ia menang ' t akan membuat pembaruan apa pun. Jadi sementara ini mungkin up-to-date hingga bulan lalu, ternyata itu tidak lagi.

3
AviD

Telah ada lembar cheat xss yang baru tersedia, ini berisi sejumlah besar vektor yang bekerja pada semua browser modern.

LINK: http://packetstormsecurity.com/files/download/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf

1
Danish