介绍
这是一篇文章,我谷歌翻译了我的文章,并审查了一些文章。
对不起,我的英语不好。
有一些省略的部分。
文章在下面。 (日本)ðâ€
https://qiita.com/sachiko-kame/items/d6128c0674a75f5ec809
在世界上,
渗透测试工具,例如OWASP ZAP,
有有用的XS检查字符串,例如XSS Locator (Polygot)。
但是,
检测到多远?
我应该首先如何测试?
是否有检查的预防措施?
如何编写XSS渗透测试以检测更多XSS?
我认为有很多事情要考虑!
我想到了各种各样的事情,所以实际上是这样做的,
我想写我认为您在编写自己的XSS渗透测试时应该小心的内容!
谢谢!
这是一个github link供您尝试!
âowaspzapâvs - XSS定位器(Polygot)ã
首先,在页面上有各种漏洞,
我检查了它可以使用“ Owasp Zap”和“ XSS定位器(Polygot)”!
我从各个站点和我通过查看Polygot的字符串制造的东西中捡起了各种各样的东西。
您可以通过查看下表来看到很多。
â»两个XS可以在一定程度上检测到。
â»有时“ OWASP ZAP”不检查该方案 sample-a9
â»两个基本上都无法使用正则表达式检测漏洞。
â»两个基本上都无法在错误位置检测漏洞。
⻓ Owasp Zap”比“ XSS定位器(Polygot)”。
如果检测方法或输入是错误的,则可能无法检测到⻓ XSS定位器(Polygot)”。 (详细信息)
在正常操作期间输入期望值的示例 | XSS定位器(Polygot) | ||
---|---|---|---|
|
1 | 检测到 | 检测到 |
<样式> *sample-a2 | 的逃避遗漏红色 | 检测到 | 检测到 |
这是我的第一篇文章! | 检测到 | 检测到 | |