it-swarm-es.com

Nueva hoja de trucos XSS?

Hay una gran lista de vectores XSS disponibles aquí: http://ha.ckers.org/xss.html , pero no ha cambiado mucho últimamente (por ejemplo, la última versión de FF mencionada es 2.0) .

¿Hay alguna otra lista tan buena como esta, pero actualizada?

50
naugtur

El mejor nuevo que he visto recientemente está aquí http://html5sec.org/ buena lista de vectores con soporte de navegador notado y tiene algunos de los más oscuros.

25
Rory McCune

Si realmente quiere entender XSS, le recomiendo la Hoja de trucos XSS Prevención de OWASP. No se centra en piratear, se centra en ayudar a los desarrolladores a prevenir estos problemas en primer lugar. http://www.owasp.org/index.php/XSS_ (Cross_Site_Scripting) _Prevention_Cheat_Sheet

12
planetlevel

Sí, agarrar fuzzdb de http://code.google.com/p/fuzzdb/ :

fuzzdb ayuda a identificar fallas de seguridad en las aplicaciones al agregar patrones de ataque conocidos, nombres de recursos predecibles y mensajes de respuesta del servidor para crear un conjunto completo y repetible de casos de prueba de entrada con formato incorrecto.

fuzzdb tiene una gran lista de cargas de ataque.

9
Tate Hansen

El cheatsheat XSS de RSnake (al que se vinculó) sigue siendo prácticamente el recurso definitivo, e incluso se hace referencia en la guía de codificación segura de OWASP (que a su vez hace referencia PCI: DSS).
Es cierto, dado que RSnake está retrocediendo un paso de eso, en el futuro esto podría cambiar, pero a partir de ahora ese es el lugar para ir.


[~ # ~] actualización [~ # ~] : RSnake se retiró oficialmente de los blogs y declaró que ganó ' No haré ninguna actualización. Entonces, si bien esto puede haber estado actualizado hasta el mes pasado, aparentemente ya no lo es.

3
AviD

Ha habido una nueva hoja de trucos xss disponible, que contiene una gran cantidad de vectores que funcionan en todos los navegadores modernos.

ENLACE: http://packetstormsecurity.com/files/download/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf

1
Danish