新しいXSSチートシート?
ここに利用可能なXSSベクトルのすばらしいリストがあります: http://ha.ckers.org/xss.html ですが、それほど変わっていません最近(例えば、言及されている最新のFFバージョンは2.0です)。
これと同じくらい良いが、最新のリストはありますか?
私が最近見た中で最高の新しいものはここにあります http://html5sec.org/ ブラウザーのサポートが記載されたベクトルの良いリストであり、かなりあいまいなものもいくつかあります。
XSSを本当に理解したい場合は、OWASPのXSSPreventionチートシートを強くお勧めします。それはハッキングに焦点を合わせていない、それはそもそも開発者がこれらの問題を防ぐのを助けることに焦点を合わせている。 http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
はい、取得 fuzzdb from http://code.google.com/p/fuzzdb/ :
fuzzdbは、既知の攻撃パターン、予測可能なリソース名、およびサーバー応答メッセージを集約して、不正な形式の入力テストケースの包括的な反復可能なセットを作成することにより、アプリケーションのセキュリティ欠陥を特定するのに役立ちます。
fuzzdbには、攻撃ペイロードの優れたリストがあります。
RSnakeのXSSチートシート(リンクしたもの)は、依然として最も信頼できるソースであり、OWASPの安全なコーディングガイド(PCI:DSSによって参照される)でも参照されています。
確かに、RSnakeはそうしたものから一歩後退しているので、これを進めると状況が変わる可能性がありますが、現時点ではそれが先です。
[〜#〜] update [〜#〜]:RSnakeがブログから正式に引退しました 宣言 彼はこれから更新を行います。したがって、これは先月まで最新であったかもしれませんが、明らかにもはやそうではありません。
新しく利用可能なxssチートシートがあり、すべての最新のブラウザーで機能する大量のベクターが含まれています。
リンク: http://packetstormsecurity.com/files/download/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf