Уважаемые пользователи, представляем Вашему вниманию обновленную версию (0.2.0) XSS-сканера. В новой версии мы добавили функционал глубокого отслеживания небезопасных переменных при создании констант функцией define. Теперь в отчете сканирования Вам может встретиться такая строка в разделе Error - echo MYCONSTANT. Ее появление означает, что где-то по коду выше было отмечено небезопасное использование константы MYCONSTANT, которая не была экранирована должным образом. Точно такой же принцип распространяется и на SQL запросы.
Также нами был добавлен функционал глубокого отслеживания небезопасных переменных в циклах foreach. Теперь сканер способен отслеживать индексы и переменные передаваемого в foreach массива. Среди прочих улучшений в этой версии: исправлены некоторые недоработки, проведены работы по оптимизации кода.
Немного о планах на будущее. Мы планируем расширить функционал сканера автоматическим определением функций экранирования и ввести глубокое отслеживание переменных, передаваемых функциям. Вдобавок к этому, в качестве дополнительного инструмента будет реализован скрипт проверки прав на файлы, и проверка тех случаев, допускающих возможность просмотра каталогов, что также представляет собой определенную проблему для безопасности Вашего проекта.
Доверьте Ваш проект XSS-сканеру, и он не оставит злоумышленникам ни единого шанса.
Статья
Новая версия сканера 0.2.0
- Написал: risedДата: 2010-12-25 07:40:19почему то когда заношу в базу $a (например) он ругается. хотя она обработана mysql_real_escape_string(0)
- Написал: adminДата: 2010-12-25 10:27:27Если код выглядит так то все в порядке: '".mysql_real_escape_string($a)."' , но если так: ".mysql_real_escape_string($a)." , то код уязвим.(0)
- Написал: risedДата: 2010-12-26 11:00:20все норм выглядит! но ругается!(0)
- Написал: adminДата: 2010-12-26 13:39:06Дальнейшая дискусия на Форуме(0)
- Написал: risedДата: 2010-12-26 03:21:35пишет notice на require($_SERVER['DOCUMENT_ROOT'].'/etc/main.php');(0)
- Написал: adminДата: 2010-12-26 13:42:52Дальнейшая дискусия на Форуме(0)