xss сканер

чтобы в ваших скриптах небыло дыр разных xss

используйте этот онлайн сервис http://find-xss.net/scanner/


вот лог четвёрки например :

Find-XSS.net
Full Report:
Scanned : 195 files
All - (2), XSS - (2), SQL Injection - (0), Active script - (0)
/registration.php
28: $reg_nick = isset($_POST['nick']) ? trim($_POST['nick']) : '';
/registration.php
85: echo '<div class="menu"><p><h3>' . $lng_reg['you_registered'] . '</h3>' .
$lng_reg['your_id'] . ': <b>' . $usid . '</b><br/>' . $lng_reg['your_login'] . ': <b>' .
$reg_nick . '</b><br/>' . $lng_reg['your_password'] . ': <b>' . $reg_pass . '</b></p>' .
XSS
/registration.php
30: $reg_pass = isset($_POST['password']) ? trim($_POST['password']) : '';
/registration.php
86: '<p><h3>' . $lng_reg['your_link'] . '</h3><input type="text" value="' .
$set['homeurl'] . '/login.php?id=' . $usid . '&amp;p=' . $reg_pass . '" /><br/>'; XSS

Подобные сканеры довольно часто не всё учитывают.
Там есть проверка переменной пароля на запрещённые символы, а также есть проверка переменной лат_наме (образованной от ника) на запрещённые символы. Если хотя бы одно из условий неудовлетворяет, то пароль или ник невыведутся на страницу. Сканер этого непонимает, вот и даёт ложные срабатывания.

k_2 (25.06.2012/16:16)
Подобные сканеры довольно часто не всё учитывают.
Там есть проверка переменной пароля на запрещённые символы, а также есть проверка переменной лат_наме (образованной от ника) на запрещённые символы.

ну это понятно

diabloser (25.06.2012/16:37)
ну это понятно

Эт пример того, что смысла от такого сервиса почти нет.

как раз искал как-то ссылку на этот сайт..

k_2, ну вот именно почти , подстраховаться всегда непомешает

ReloadeD, все должно фильтроваться еще в шапке, в файле конф, лог есть?

ReloadeD, надо будет глянуть

XSS точно)

если ты каким либо образом попал в кфм, то хсс по сути не самое страшное, когда можно и файлы создавать и запросы выполнять гг