Я использовал бесплатное расширение Firefox XSS Me из Security Compass для тестирования проблем XSS. Однако, используя то, что я понимаю, чтобы быть безопасной фильтрацией, XSS меня все еще сообщает о предупреждениях. Являются ли эти точные предупреждения или ложные?XSS Me Warnings - реальные проблемы с XSS?
Используя приведенный ниже код как TestCase:
<form method="post" action="">
<input type="text" name="param" value="<?php echo htmlentities($_POST['param'])?>">
<input type="submit">
</form>
<?php echo htmlentities($_POST['param'])?>
Я бегу некоторые гадости от руки, но ни один из них не выполняются в браузере, и с помощью Charles debugging proxy я могу видеть, что ответ кодируется как ожидалось.
Однако XSS Me сообщает ряд предупреждений, как будто он может видеть Unencoded строки в источнике HTML: alt text http://img696.imageshack.us/img696/8850/xss.png
Глядя на Чарльзе в то же время, я могу видеть, что строки кодируются и должен быть безопасным, например <IMG SRC="jav ascript:document.vulnerable=true;">
- Есть ли уязвимость, которую я не исправил?
- Эти предупреждающие сообщения изгоев?
- И если да, то другое расширение Firefox (Firebug?) Противоречит XSS Me?
Спасибо, мне просто нужно установить XSS Me на Firefox 3.6 - любой шанс совместимого выпуска? – PeterB
Надеемся, что на этой неделе на addons.mozilla.org мы получим «экспериментальный» (читай: не просмотрен). Я отправлю ссылку, когда она закончится :-). Процесс обзора должен быть быстрым, но мы не контролируем его. – Mystic