我想找到输出xss其他攻击的程序来测试我的申请表.
应该使用新的xss和其他新的攻击来全面更新此程序/服务.
这样的服务/程序是否存在,如果不是今天呢?
请给出一些例子,如果可以的话.
编辑:
我询问测试,而不是阻止我也知道的技术.
谢谢,
优素福
200的X- 200 X- 200 X- 200 X- 200 X- 200 X- 200 X- 200 X- 200 X- 200 200 X-
防止这种攻击的形式是众所周知的,易于使用:
>总是escape variables in sql,还是更好使用prepared statements
>如果您不需要接受和保留HTML输入,那么总是htmlspecialchars任何进入HTML的变量(请注意,有许多格式,如BBCode,MarkDown,Textile等,其唯一目的是允许一个有用的格式化选项子集,而不会打开潘多拉的盒子)
可用的新200新新200新200新200新200新新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200 200 200新新200新200新200新200新新200新200新200新200新200新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新新200新新200新新新200新新200新新200新新新200新新200新新200新新200新新200新新200新新200新新200新新新200新新200新新200新新
因此,我想说,确保您遵循这些做法/使用这些工具,您的时间更好.
此外,如果您通过一个定义明确的部分漏洞访问这两个子系统(sql和HTML输出)(数据库访问方法,无论什么都可以转义所有输入; HTML输出函数以相同的方式转义输入变量和将它们注入提供的“HTML模板”,随后回显),则可以轻松对这些子系统进行单元测试.体面的PHP框架已经这样做了.
在这一点上,引入漏洞的唯一真正的机会是排除或滥用这些子系统. 200新X-45新新新新新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新200新新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新旗新新旗新新旗新新旗:
最后,您可以使用automated SQL injection tools和XSS-related tools来探测Web应用程序.新新200新200新200新200新200新新200新新200新新200新200新200新新200新200新新200新200新新200新200新新200新200新新200新新200新200新新200新200新新200新新200新新200新200新新旗新新旗新新旗2001-新新新新旗新200新旗新200新新旗新新200新新旗新新旗2001-新新新新旗新200新新旗新新旗2001-新新新新旗新200新新旗新新旗2001-新新新旗新旗新200新新旗新新旗新新旗2001-新新新旗新旗新200新新旗新新旗2001-新新新新旗新旗200新新旗新新旗新
