проверка на XSS сайта

Здравствуйте!

Подскажите как можно проверить свои сайты на предмет XSS уязвимостей?

Например, запостить в форму что-то чтобы что-то произошло.
  • Вопрос задан
  • 27463 просмотра
Пригласить эксперта
Ответы на вопрос 6
@impass
Нанять pentester'а / хакера с опытом для проверки вручную. Для большей эффективности можно предоставить доступ к исходному коду.

Есть конечно автоматизированные инструменты, типа Acunetix Web Vulnerability Scanner (есть в варезе), но их эффективность в небанальных случаях довольно сомнительная.
Ответ написан
Комментировать
habrrich
@habrrich
Ответ написан
Комментировать
Scat
@Scat
Обычно проверяют этим

<script>alert('aa');</script>

Если на сайте много форм, то лучше вего воспользоваться программой для поиска уязвимостей. Одним из самых продвинутых считается Acunetix Web Security Scanner, его сможете найти на торентах.
Ответ написан
@Xrizolin
Привет!

Самый лучший способ проверить сайт на XSS - проверить исходный код.
Основная причина возникновения XSS - отсутствие фильтрации пользовательского ввода на (&, <, >, ", ')

Большинство современных ORM, шаблонизаторов в языках выполняют эскейпинг пользовательских данных, что должно защищать от XSS. К сожалению часто разработчики выключают эти проверки руками.

Более подробно про то как защитить свой код от XSS: https://www.owasp.org/index.php/XSS_(Cross_Site_Sc...

Как обойти фильтры и внедрить XSS: https://www.owasp.org/index.php/XSS_Filter_Evasion...

Кстати, я один из разработчиков сканера уязвимостей, в том числе и XSS - https://metascan.ru
Можете попробовать сканер или просто поспрашивать наших ребят. support@metascan.ru
Ответ написан
Комментировать
@rom2 Автор вопроса
Всем спасибо!
Ответ написан
Комментировать
@Nikitst
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы