Дорогие друзья, предлагаем Вам ознакомиться с изменениями, сделанными нами в обновленной версии (0.5.0) XSS-сканера. Как мы и обещали ранее, статусы Warning и Error подверглись упразднению. Отчет сканирования в новой версии также претерпел существенные изменения - теперь в нем указываются три основные вида уязвимостей XSS, SQL injection и Active script (прочие уязвимости). К сожалению, в предыдущих версиях сканера отчет проверки ставил некоторых пользователей в тупик (особенно уязвимость со статусом Warning). В версии 0.5.0 мы сделали все возможное, чтобы максимально упростить понимание логики, которую использовал сканер для обнаружения той или иной уязвимости.
Отчет нового типа демонстрирует пользователю ключевые строки кода, наряду со строкой самой уязвимости, что позволяет проследить всю последовательность, использованную сканером при анализе. Небезопасный параметр будет выделен в отчете красным цветом. Версия 0.5.0 более дружелюбна к еще не набравшим достаточно опыта владельцам сайтов - при наведении мышки на строку с уязвимостью всплывет подсказка о способе ее устранения. Обратим Ваше внимание на тот факт, что для качественной проверки необходимо загружать в сканер весь код сайта целиком, а не отдельные его модули. Дело заключается в том, что XSS-сканер строит отчет, анализируя все функции, содержащиеся в загруженных в него материалах, поэтому при проверке отдельных плагинов или файлов сканер не видит картину в целом и выдает ошибочный отчет. В том случае, если Вы хотите проверить плагин для Joomla (или любой другой CMS), то скопируйте его в папку дистрибутива Joomla, сожмите все в ZIP, и загрузите в сканер.
Не секрет, что некоторые пользователи испытывают определенные сомнения при загрузке своих проектов в сканер, считая, что в дальнейшем мы сможем как-нибудь использовать загруженные ими материалы. На самом деле эти сомнения не имеют под собой никаких реальных оснований, поскольку сканер автоматически удаляет все загруженные пользователем файлы после завершения сканирования. Более того, настоятельно просим Вас не загружать в сканер медиа-контент Вашего сайта (картинки, видео, музыку и прочие файлы), так как данный инструмент проверяет исключительно PHP файлы, игнорируя все остальное. Отметим, что некоторые владельцы сайтов не имеют должных навыков в программировании и испытывают определенные трудности с устранением обнаруженных уязвимостей. Рекомендуем таким пользователям не тратить время зря, а сразу же обращаться в нашу службу поддержки - за более чем скромное вознаграждение (устранение одной уязвимости стоит всего 50 центов) мы с радостью поможем Вам.
Желаем Вам поменьше проблем с безопасностью Ваших проектов!
С уважением, команда разработчиков Find-XSS.net.
Статья