Уважаемые пользователи Find-XSS.net, представляем Вашему вниманию обновленную версию (0.1.4) XSS-сканера. Начиная с этого момента, все пользователи (а не только те, кто имеет VIP-доступ) смогут сканировать файлы PHP и ZIP архивы объемом до 10MB. Результат сканирования будет представлен в виде специального отчета, содержащего как данные о количестве обнаруженных уязвимостей, так и их классификацию. Как и в предыдущих версиях, VIP-пользователи имеют доступ к наиболее полному отчету сканирования. Также мы добавили поле ввода критических для проверки функций (функции, используемые для SQL запросов, или любые другие функции, написанные Вами самостоятельно). Среди прочих улучшений в этой версии: добавлена возможность выборки уязвимостей по классовым критериям, исправлены некоторые недоработки, проведены работы по оптимизации кода.
XSS-сканер от Find-XSS.net - Ваш главный инструмент в борьбе с уязвимостями.
XSS и SQLi Сканер
Find Monitoring
HTML Валидатор
- Инструменты
XSS СканерXSS и SQL injection Сканер- HTML ВалидаторУпрощенный HTML Валидатор
- Утилиты
- Find-LinkПоиск скрытых внешних ссылок на сайте
- Find-PortПроверка открытых портов на сервере
- Find-InfoУдобная проверка прав на папки и файлы
- Find-DateДаты последних изменений файлов
- Find-StringПоиск заданного текста в файлах
- Find-ErrorПроверка кода на синтаксические ошибки
- Проверь себя
- XSS уязвимостиТест на XSS уязвимости
- SQLi уязвимостиТест на SQL injection
- ЛогикаТест на логические уязвимости
- Информеры
- Find-OnlineОнлайн пользователи на вашем сайте
- Find-Exchange-RateКурсы валют
- Find-IPКнопка IP пользователя
- Реклама
- РекламаСервис обмена рекламой
Статья
Новая версия сканера 0.1.4
- Написал: jmixДата: 2010-12-20 01:17:01Прикольный сервис, только понять не могу я в свойх скриптах проверяю глобальный переменый след оброзом $act = isset ($_GET['act']) ? trim($_GET['act']) : ''; а если проверить через ваш сканер ты выдает ошибку
(1)
- Написал: adminДата: 2010-12-20 13:24:12trim никак не экранирует данные и если вы используете переменную $act гдето в скрипте в sql запросе или выводите ее при помощи например echo. То в первом случае можно взломать базу данных а во втором это xss уязвимость.
(0)
- Написал: risedДата: 2010-12-21 10:41:21там это используется для switch($act) { }
(0)
- Написал: adminДата: 2010-12-21 13:36:08Предполагаю скрипт выдает warning, это только предупреждение о том, что переменная $act может гдето не экранироваться. Но если она используется в switch($act) { } то конечно ничего страшного в этом нет. Как раз сегодня я хочу поработать над отслеживанием именно таких случаев.
(0)
- Написал: jmixДата: 2010-12-29 07:24:27Он также ругается если в токомже стиле филтровать с помощью abs , intval
(0)
- Написал: adminДата: 2010-12-29 10:34:26Дальнейшая дискусия на Форуме
(0)
- Написал: risedДата: 2010-12-20 07:43:53согласен. да и функции проверки скрипт тоже сам должен находить и опятьже проверять на язвы. а так полезный сервис для новичков. т.к лучше проверки мозгом нет ничего. но еслии довести до ума, может норм получится.
(1)
- Написал: adminДата: 2010-12-20 13:32:39Согласен с вами, что умом оно лучше, но если проект большой то скрипт полезен уже сейчас. Думаю CMS пишут не новички, но некоторые из них срочно требуют проверки. На следующей недели я планирую поднять новую версию сканера которая уменьшит количество кода на который стоит обращать внимание(сократит warnings и notice). Идея с автоматическим опеределением функций экранирования понравилась, спасибо постораюсь реализовать.
(2)
- Написал: risedДата: 2010-12-21 10:20:59незачто. еще найдем че, подкинем...
(0)
