Website auf XSS (Cross Site Scripting) und SQL Injection testen.

#1 Hallo Boardies,

ich bin immer wieder schockiert wieviele Social Netzwerke und aktuelle StartUps die Thematik der Sicherheit vollkommen übersehen, meinen Tests nach stosse ich auf die schnelle bei mindestens jeder 4ten Seite in der folgenden Liste auf massive Sicherheitslücken:

http://www.deutsche-startups.de/a-z/startups-a-z/

folgende Seiten bieten gute Beispiellisten wie XSS und MySQL Injection Attacken aussehen können:
http://ha.ckers.org/xssAttacks.xml
http://mario.heideri.ch/xss.xml

wer seine eigene oder andere Seiten gerne mal grob testen mag kann dieses sehr einfach mit folgender Firefox Browser Erweiterung machen, wo die eben erwähnten XSS Beispiele schon integriert sind.

Vorraussetzung ist die Installation der Greasmonkey Erweiterung für Firefox:
https://addons.mozilla.org/de/firefox/addon/748

danach kann man den XSS Assistant installieren:
http://www.whiteacid.org/greasemonkey/#xss_assistant

fortan erscheint auf sämtlichen Seiten bei Formularen ein Icon welches ein Menü aufruft mit dem man XSS Code in Formulare einschleusen kann.

nach der Auswahl vo mario.heideri.ch -> Advanced XSS Locator
dem betätigen von Apply + dann auf Submit Form
springen die meisten Formulare von an.

viel Spass beim testen, bin gespannt auf Eure Berichte

Greetz Lp

#2 die XSS Assistant Erweiterung für Greasemonkey befindet sich im Anhang, falls die Website mal nicht erreichbar sein sollte.

Greetz Lp

#3 http://www.securitycompass.com/exploitme.shtml

Auch ein nettes FF-Plugin...
__________
the power to serve

#4

Zitat

dash postete
http://www.securitycompass.com/exploitme.shtml

Auch ein nettes FF-Plugin...

cooler Tipp, geniales Tool gerade getestet!
Dankeschön

Greetz Lp