Hier ist eine große Liste von XSS-Vektoren verfügbar: http://ha.ckers.org/xss.html, aber es hat sich in letzter Zeit nicht viel geändert (z. B. die zuletzt erwähnte FF-Version) ist 2.0).
Gibt es eine andere Liste, die so gut ist, aber aktuell?
Hier ist eine große Liste von XSS-Vektoren verfügbar: http://ha.ckers.org/xss.html, aber es hat sich in letzter Zeit nicht viel geändert (z. B. die zuletzt erwähnte FF-Version) ist 2.0).
Gibt es eine andere Liste, die so gut ist, aber aktuell?
Das beste neue, das ich in letzter Zeit gesehen habe, ist hier http://html5sec.org/ Eine gute Liste von Vektoren mit Browserunterstützung und einigen der dunkeleren.
Wenn Sie XSS wirklich verstehen möchten, empfehle ich dringend das XSS Prevention Cheat Sheet von OWASP. Es konzentriert sich nicht auf das Hacken, sondern darauf, Entwicklern zu helfen, diese Probleme überhaupt zu verhindern. http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
Ja, holen Sie sich fuzzdb von http://code.google.com/p/fuzzdb/:
fuzzdb hilft bei der Identifizierung Sicherheitslücken in Anwendungen durch Aggregation bekannter Angriffsmuster, vorhersehbarer Ressourcennamen und Serverantwortnachrichten, um einen umfassenden, wiederholbaren Satz fehlerhafter Eingabetestfälle zu erstellen.
fuzzdb verfügt über eine große Liste von Angriffsnutzdaten .
RSnakes XSS-Cheatsheat (mit dem Sie verlinkt haben) ist immer noch die endgültige Ressource, und es wird sogar im OWASP-Handbuch für sichere Codierung (auf das wiederum von PCI: DSS verwiesen wird) verwiesen. strike>
Richtig, da RSnake einen Schritt zurück von diesem Zeug macht, könnte sich dies in Zukunft ändern, aber ab sofort ist dies der richtige Ort.
UPDATE : RSnake hat sich offiziell vom Bloggen zurückgezogen und erklärt, dass er keine Updates vornehmen wird. Obwohl dies bis zum letzten Monat auf dem neuesten Stand war, ist es anscheinend nicht mehr so.
Es gab ein neu verfügbares xss-Spickzettel, das eine Vielzahl von Vektoren enthält, die in allen modernen Browsern funktionieren.
LINK: http://packetstormsecurity.com/files/download/124419/WAF_Bypassing_By_RAFAYBALOCH.pdf