it-swarm-korea.com

새로운 XSS 치트 시트?

여기에 유용한 XSS 벡터 목록이 있습니다 : http://ha.ckers.org/xss.html , 그러나 최근에 많이 바뀌지 않았습니다 (예 : 최신 FF 버전은 2.0입니다) .

이만큼 좋은 최신 목록이 있습니까?

50
naugtur

내가 최근에 본 가장 새로운 것은 다음과 같습니다. http://html5sec.org/ 브라우저 지원 기능이있는 벡터 목록이 잘 알려져 있으며 더 모호한 벡터가 많이 있습니다.

25
Rory McCune

XSS를 정말로 이해하려면 OWASP의 XSS 예방 치트 시트를 강력히 권장합니다. 해킹에 중점을 두지 않고 개발자가 이러한 문제를 처음에 예방할 수 있도록 돕는 데 중점을 둡니다. http://www.owasp.org/index.php/XSS_ (Cross_Site_Scripting) _Prevention_Cheat_Sheet

12
planetlevel

예, fuzzdb from http://code.google.com/p/fuzzdb/ :

fuzzdb는 알려진 공격 패턴, 예측 가능한 리소스 이름 및 서버 응답 메시지를 집계하여 포괄적이고 반복 가능한 일련의 잘못된 입력 테스트 사례를 만들어 애플리케이션의 보안 결함을 식별합니다.

fuzzdb에는 다양한 공격 페이로드 목록이 있습니다.

9
Tate Hansen

RSnake의 XSS cheatsheat (여러분이 링크 한)는 여전히 결정적인 리소스이며, OWASP의 안전한 코딩 가이드 (PCI : DSS에서 참조)에서도 참조됩니다.
True, RSnake가 그 물건에서 한 걸음 물러서면서 앞으로 나아갈 수도 있지만 현재로서는 갈 곳입니다.


[~ # ~] update [~ # ~] : RSnake는 공식적으로 블로그에서 은퇴했으며 선언 업데이트하지 마십시오. 따라서 지난 달까지는 최신 상태 였지만 더 이상은 아닙니다.

3
AviD

새로 사용할 수있는 xss 치트 시트가 있으며 모든 최신 브라우저에서 작동하는 방대한 양의 벡터가 포함되어 있습니다.

링크 : http://packetstormsecurity.com/files/download/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf

1
Danish