Website auf XSS (Cross Site Scripting) und SQL Injection testen.

#0
16.11.2007, 22:50
Member
Avatar Laserpointa

Beiträge: 2175
#1 Hallo Boardies,

ich bin immer wieder schockiert wieviele Social Netzwerke und aktuelle StartUps die Thematik der Sicherheit vollkommen übersehen, meinen Tests nach stosse ich auf die schnelle bei mindestens jeder 4ten Seite in der folgenden Liste auf massive Sicherheitslücken:

http://www.deutsche-startups.de/a-z/startups-a-z/

folgende Seiten bieten gute Beispiellisten wie XSS und MySQL Injection Attacken aussehen können:
http://ha.ckers.org/xssAttacks.xml
http://mario.heideri.ch/xss.xml

wer seine eigene oder andere Seiten gerne mal grob testen mag kann dieses sehr einfach mit folgender Firefox Browser Erweiterung machen, wo die eben erwähnten XSS Beispiele schon integriert sind.

Vorraussetzung ist die Installation der Greasmonkey Erweiterung für Firefox:
https://addons.mozilla.org/de/firefox/addon/748

danach kann man den XSS Assistant installieren:
http://www.whiteacid.org/greasemonkey/#xss_assistant

fortan erscheint auf sämtlichen Seiten bei Formularen ein Icon welches ein Menü aufruft mit dem man XSS Code in Formulare einschleusen kann.

nach der Auswahl vo mario.heideri.ch -> Advanced XSS Locator
dem betätigen von Apply + dann auf Submit Form
springen die meisten Formulare von an.

viel Spass beim testen, bin gespannt auf Eure Berichte

Greetz Lp

Seitenanfang Seitenende
16.11.2007, 22:54
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2175
#2 die XSS Assistant Erweiterung für Greasemonkey befindet sich im Anhang, falls die Website mal nicht erreichbar sein sollte.

Greetz Lp

Seitenanfang Seitenende
11.01.2008, 11:54
Member

Beiträge: 214
#3 http://www.securitycompass.com/exploitme.shtml

Auch ein nettes FF-Plugin...
__________
the power to serve
Dieser Beitrag wurde am 11.01.2008 um 13:03 Uhr von dash editiert.
Seitenanfang Seitenende
11.01.2008, 17:31
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2175
#4

Zitat

dash postete
http://www.securitycompass.com/exploitme.shtml

Auch ein nettes FF-Plugin...
cooler Tipp, geniales Tool gerade getestet!
Dankeschön

Greetz Lp
Seitenanfang Seitenende