четверг, 11 ноября 2010 г.

Полнота проверки на xss атаку

Большинство тестировщиков, которые не специализирутся на секюрити тестировании, при его выполнении (проверить то надо) пользуются стандартной процедурой:
1. Ввести во все поля тестируемой формы следующее:


2. Запостить форму
3. Зайти на форму просмотра результата
4. Открыть запись
Результат: если скрипт выполняется, то атака получилась.
Но как оказалось, xss атака может скрываться не только в скриптах, но еще и в тегах.
Например, в нашем проекте, где не срабатывал вышеуказанный пример, отлично сработал следующий:


Так что "век живи, век учись". Кстати, кто еще знает как можно запостить xss атаку, кроме этих двух способов? Делитесь знаниями :)

10 комментариев:

  1. На маус ивентах недавно твиттер попалился)
    А вообще вот читшит, развлекайтесь: http://ha.ckers.org/xss.html

    ОтветитьУдалить
  2. Очень часто пользуюсь вот этим списком: http://ha.ckers.org/xss.html. Но он к сожалению слегка устарел, хотя иногда и срабатывает.
    Вообще, если это не поверхностное тестирование, то анализирую целевую страницу, анализирую как фильтруются данные, а далее подбираю соответствующие вектора для проверки. Последний раз именно классический вектор и прошёл :)

    ОтветитьУдалить
  3. Делюсь знаниями: http://ha.ckers.org/xss.html

    Два способа -- это было бы слишком просто :)

    ОтветитьУдалить
  4. (ß=[],[Ç=!!ß+ß,µ=!ß+{}][µ[ª=Ç[++ß]+Ç[+!ß],È=ß-~ß]+µ[È+È]+ª])()[µ[ß]+µ[ß+ß]+Ç[È]+ª](ß)
    Вот один из векторов xss атаки.
    Есть еще посмотрирте сюда: http://raz0r.name/other/universalnyj-xss-vektor/

    ОтветитьУдалить
  5. вот пожалуйста:
    http://raz0r.name/other/universalnyj-xss-vektor/

    Кстати попытки запостить этот вектор атаки сюда провалились :)

    ОтветитьУдалить
  6. Спасибо! Очень полезная это для меня информация :)

    ОтветитьУдалить
  7. Не, ну вот меня интересует вопрос почему блог называется "Всё, что Вы не знали о тестировании"? Почему бы не называть, "Всё, что Вы хотели бы знать о тестировании" или что-нибудь подобное? :)

    ОтветитьУдалить
  8. Да, действительно, название блога несколько преувеличено :) Переименовала. Спасибо!

    ОтветитьУдалить