Безопасность и Мониторинг

FotoCurious
Ник: Пароль:
slider

XSS и SQLi Сканер

Online XSS и SQLi Сканер для PHP проектов
slider

Find Monitoring

Мониторинг сайта на шеллы, доступность сайта в сети
slider

HTML Валидатор

Простой HTML Валидатор, проверка на ошибочные теги
slider

ImgPack оптимизация

Пакетная оптимизация изображений - скорость вашего сайта

Новости по тегу - xss scanner

Новая версия сканера 0.2.1

new versionУважаемые пользователи Find-XSS.net, представляем Вашему вниманию обновленную версию (0.2.1) XSS-сканера. Как мы и обещали ранее, в эту версию были включены все функции PHP, возвращающие безопасные данные, что позволило значительно уменьшить число случаев, в которых скрипт присваивал частям кода статусы Warning и Notice. Отметим, что поставленная перед нами задача была далеко не из самых простых, поскольку сканер испытывал существенные проблемы с производительностью при обработке всего 70 функций, а от него требовалась стабильная обработка более 1350 функций. Тем не менее, нам удалось решить данную задачу. Вдобавок к этому, мы даже получили определенный прирост в скорости сканирования. Также в версии  0.2.1 были исправлены некоторые недоработки и оптимизирован код.

Новая версия сканера 0.2.0

new versionУважаемые пользователи, представляем Вашему вниманию обновленную версию (0.2.0) XSS-сканера. В новой версии мы добавили функционал глубокого отслеживания небезопасных переменных при создании констант функцией define. Теперь в отчете сканирования Вам может встретиться такая строка в разделе Error - echo MYCONSTANT. Ее появление означает, что где-то по коду выше было отмечено небезопасное использование константы MYCONSTANT, которая не была экранирована должным образом. Точно такой же принцип распространяется и на SQL запросы.

Новая версия сканера 0.1.5

new versionУважаемые пользователи Find-XSS.net, представляем Вашему вниманию обновленную версию (0.1.5) XSS-сканера. Версию, которую можно считать настоящей отправной точкой в отслеживании SQL injection. Начиная с настоящего момента, всем обнаруженным SQL инъекциям будет присваиваться статус Error и они больше не будут разбрасываться по другим категориям. Также мы добавили функционал глубокого отслеживания небезопасных переменных при присваивании. Теперь в отчете сканирования Вам может встретиться такая строка в разделе Error - echo $myvar. Ее появление означает, что где-то по коду выше было отмечено небезопасное использование переменной $myvar, которая не была экранирована должным образом. Точно такой же принцип распространяется и на SQL запросы. Обратите внимание, в новой версии статус Notice содержит меньше информации (как и Warnings). Среди прочих улучшений в этой версии: исправлены некоторые недоработки, проведены работы по оптимизации кода.
 
Желаем Вам поменьше проблем с безопасностью Ваших проектов!
С уважением, команда разработчиков Find-XSS.net.

Новогодняя Акция

newsДорогие друзья, проект Find-XSS.net предлагает Вам принять участие в специальной новогодней акции. В течение недели, начиная с момента регистрации, каждый новый пользователь сможет использовать XSS-сканер на бесплатной основе. Обратите внимание, акция продлится до 7 января. Вдобавок к этому, мы снизили стоимость недельного использования сканера до 1 доллара США.
 
Команда разработчиков Find-XSS.net поздравляет Вас с наступившим Новым Годом. Желаем Вам всего только самого лучшего.

Новая версия сканера 0.1.4

new versionУважаемые пользователи Find-XSS.net, представляем Вашему вниманию обновленную версию (0.1.4) XSS-сканера. Начиная с этого момента, все пользователи (а не только те, кто имеет VIP-доступ) смогут сканировать файлы PHP и ZIP архивы объемом до 10MB. Результат сканирования будет представлен в виде специального отчета, содержащего как данные о количестве обнаруженных уязвимостей, так и их классификацию. Как и в предыдущих версиях, VIP-пользователи имеют доступ к наиболее полному отчету сканирования. Также мы добавили поле ввода критических для проверки функций (функции, используемые для SQL запросов, или любые другие функции, написанные Вами самостоятельно). Среди прочих улучшений в этой версии: добавлена возможность выборки уязвимостей по классовым критериям, исправлены некоторые недоработки, проведены работы по оптимизации кода.
 
XSS-сканер от Find-XSS.net - Ваш главный инструмент в борьбе с уязвимостями.

Как это работает?

news    Данный инструмент предназначен для помощи в поисках уязвимостей XSS и SQL Injection. Сервис дает возможность проверять PHP файлы, а также ZIP архивы до 10mb. Для VIP пользователей (зарегистрированных) предоставляется детальный отчет сканирования. Результатом работы сканера будет вывод названия файла в котором найдена потенциальная уязвимость, а также пронумерованные строки небезопасного кода в этом файле, уязвимый параметр и тип уязвимости.

Error статус

newsСтатус Error с 99% точностью говорит о том, что в данном месте есть XSS или SQL Injection уязвимость.
Строка кода с таким статусом может выглядеть например так:

echo $_GET['name'];

В такой ситуации при передаче в адресной строке параметра name таким образом &name=<strong> вы выделите болдом весь текст следующий за echo на сайте. Примеры могут быть и страшнее, вот один из них:

Warning статус

newsПринцып действия изменен начиная с версии 0.3.0
>Статус Warning предупреждает о возможной уязвимости. В частности он предупреждает о потенциальных ошибках таких как например присваивание переменной значения например $_GET или $_POST без проверки на XSS или SQL Injection. Кто то может сказать - но я проверяю эту переменную каждый раз при ее дальнейшем использовании. Такой подход не оптимальный, лучшим решением является проверка непосредственно при получении параметра один раз, и дальнейшего использования его во всей программе не задумываясь об уязвимости. Приведу пример:

Copyright © 2010 - 2019 Find-XSS.net
0.030499935150146