Большинство тестировщиков, которые не специализирутся на секюрити тестировании, при его выполнении (проверить то надо) пользуются стандартной процедурой:
1. Ввести во все поля тестируемой формы следующее:
2. Запостить форму
3. Зайти на форму просмотра результата
4. Открыть запись
Результат: если скрипт выполняется, то атака получилась.
Но как оказалось, xss атака может скрываться не только в скриптах, но еще и в тегах.
Например, в нашем проекте, где не срабатывал вышеуказанный пример, отлично сработал следующий:
Так что "век живи, век учись". Кстати, кто еще знает как можно запостить xss атаку, кроме этих двух способов? Делитесь знаниями :)
На маус ивентах недавно твиттер попалился)
ОтветитьУдалитьА вообще вот читшит, развлекайтесь: http://ha.ckers.org/xss.html
Очень часто пользуюсь вот этим списком: http://ha.ckers.org/xss.html. Но он к сожалению слегка устарел, хотя иногда и срабатывает.
ОтветитьУдалитьВообще, если это не поверхностное тестирование, то анализирую целевую страницу, анализирую как фильтруются данные, а далее подбираю соответствующие вектора для проверки. Последний раз именно классический вектор и прошёл :)
Делюсь знаниями: http://ha.ckers.org/xss.html
ОтветитьУдалитьДва способа -- это было бы слишком просто :)
(ß=[],[Ç=!!ß+ß,µ=!ß+{}][µ[ª=Ç[++ß]+Ç[+!ß],È=ß-~ß]+µ[È+È]+ª])()[µ[ß]+µ[ß+ß]+Ç[È]+ª](ß)
ОтветитьУдалитьВот один из векторов xss атаки.
Есть еще посмотрирте сюда: http://raz0r.name/other/universalnyj-xss-vektor/
вот пожалуйста:
ОтветитьУдалитьhttp://raz0r.name/other/universalnyj-xss-vektor/
Кстати попытки запостить этот вектор атаки сюда провалились :)
Хм...
ОтветитьУдалитьСпасибо! Очень полезная это для меня информация :)
ОтветитьУдалитьНе, ну вот меня интересует вопрос почему блог называется "Всё, что Вы не знали о тестировании"? Почему бы не называть, "Всё, что Вы хотели бы знать о тестировании" или что-нибудь подобное? :)
ОтветитьУдалить:)
ОтветитьУдалитьДа, действительно, название блога несколько преувеличено :) Переименовала. Спасибо!
ОтветитьУдалить