Перевірка на XSS сайту
Підкажіть як можна перевірити свої сайти щодо XSS вразливостей?
Наприклад, запостити у форму щось, щоб щось сталося.
Найняти pentester'у / хакера з досвідом для перевірки вручну. Для більшої ефективності можна надати доступ до вихідного коду.
Є звичайно автоматизовані інструменти типу Acunetix Web Vulnerability Scanner (є у варезі), але їх ефективність у небанальних випадках досить сумнівна.
Зазвичай перевіряють цим
Якщо на сайті багато форм, то краще за нього скористатися програмою для пошуку вразливостей. Одним з найпоширеніших вважається Acunetix Web Security Scanner, його зможете знайти на торентах.
Найкращий спосіб перевірити сайт на XSS – перевірити вихідний код. Основна причина виникнення XSS - відсутність фільтрації введення користувача на (&, , ", ')
Більшість сучасних ORM, шаблонизаторів у мовах виконують ескейпінг даних, що має захищати від XSS. На жаль, часто розробники вимикають ці перевірки руками.