Subscribe to Feeds

Hay dos cosas infinitas: el Universo y la estupidez humana. Y del Universo no estoy seguro.

Los grandes espíritus siempre han encontrado una violenta oposición de parte de mentes mediocres.

XSS-proxy - Cross Site Scripting herramienta Automatizada de ataques

XSS-proxy es una Herramienta De Xss Automatizada Cruz-sitio de scripting (XSS) herramienta de ataque. Los documentos, herramientas y otros contenidos de esta herramienta es asuniendo que tienen una comprensión básica de XSS cuestiones y métodos de explotación existentes. Si no está familiarizado con XSS y, a continuación, le recomiendo que visite alguno de los enlaces / docs de abajo para obtener una mejor idea de lo que es XSS y la forma de detectar, arreglar, y se aprovechan de ella.

Cross Site Scripting (XSS)
CERT info on XSS

CGISecurity’s Cross Site Scripting FAQ
Gunter Ollmann’s XSS paper
PeterW’s Cross Site Request Forgery (CSRF) Concept
SecureNet’s Session Riding paper

Algunas ideas falsas acerca de XSS
  • "Un usuario tiene que hacer clic en un vínculo que estén afectados por XSS." No - si usted visita una página el navegador se ejecutará independientemente de que usted haga clic en un enlace. cuidadosamente este ejemplo por lo que no se ejecute en su navegador, pero me podría haber puesto las etiquetas de secuencias de comandos reales / comandos aquí y te hizo correr entonces transparente.
  • "XSS sólo pasa en boletines , blogs y otros sitios en los que un atacante puede cargar script de contenido." Esa es una forma en que el ataque puede suceder, pero un atacante también puede aprovechar los sitios que permiten HTML / SCRIPT etiquetas que se refleja de vuelta a la mismo usuario (como un formulario de búsqueda que se repite lo que fue informado de que debe buscar en la respuesta). Estas fallas son comúnmente combinado con redirecciones a sitios público o mensajes de correo electrónico para atacar a un segundo sitio.
  • "No.. sólo los ataques XSS crean ventanas emergentes, alertas y otras cosas molestas?" No - Normalmente se utilizan para revelar las cookies o la forma de acceso basada en la información a los atacantes. Después de obetner esta información, el atacante la utiliza para entrar en el mismo sitio que tú.
  • "Yo entiendo los XSS, pero no creo que es un enorme problema". Creo que usted cambia de opinión una vez que comprendes este avanzado ataque. Lea las cosas avanzadas y por debajo de jugar con XSS-proxy para ver cómo realmente lo mal que un XSS puede ser.

Puede descargar XSS-proxy aquí:

XSS-Proxy_0_0_12-book.pl

o leer mas AKA

0 comentarios: