freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

IBM最新XSS Analzyer将提供700万XSS漏洞利用规则
2012-07-06 15:10:54

当提到检测XSS跨站脚本攻击的时候,AppScan一直是业内的No.1。

AppScan_v8

AppScan的"Xss Analyzer"是近几年一个具有重大意义的DAST创新产品。它打破了传统进行黑盒测试的标准,而这种标准在过去的12年中未曾改变过。由IBM创造出的新标准确实有其新颖和令人惊奇的地方。

这就是我们为什么相信Xss Analyzer与其他的扫描器与众不同:XSS Analyzer能够像一个渗透测试人员一样思考和工作。我们整合了业内最好的一批渗透测试人员的经验以及他们的杰出作品,加之最广泛的针对不同场景下的XSS利用方法。其中最核心的是,我们用代码打造出了一个“渗透测试专家”

Xss Analyzer将首先匹配出可能受XSS影响的代码上下文
下面是一些简单的匹配规则:

<script>XX=[HERE]</script>
<img src="[HERE]">
<div style=[HERE]:bla>
<style>div{'aa:a[HERE]aaa'}</style>
<div onmouseover=`XX(1,'[HERE]')`></div>
<frameset><frame src=http://[HERE]></frame></frameset>

Xss Analyzer还会针对不同环境不同的防护措施来进行自学习,自动学习哪些规则是被允许的而哪些是不允许的。通过对自身规则的修改最终绕过服务器的保护措施。

值得一提的是,最新的XSS Analyzer中将会包含700万的XSS漏洞利用规则。

小编:700万的规则。。这是个什么概念,由RSnake神牛搞的XSS Cheat Sheet http://ha.ckers.org/xss.html也不过只有100多条。

via: http://blog.watchfire.com/wfblog/2012/07/announcing-xss-analyzer.html


本文作者:, 转载请注明来自FreeBuf.COM

# 安全资讯 # ibm xss Analzyer
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑