Як знайти 1000000 XSS уразливостей

22:29 13.10.2007

Хочете знати як знайти мільйон XSS уразливостей? Я вам розповім.

В своєму записі 1,000,000 XSS vulnerabilities and counting, Джеремія написав з приводу нашої з ним розмови. Нещодавно ми з ним спілкувалися з приводу деяких знайдених мною уразливостей (зокрема на сайтах спецслужб), і він з жалем заявив, що хотів би знати спосіб як знайти мільон нових XSS дірок швидше.

На що я йому запропонував наступну методику.

Взявши знайдені мною уразливості в Google Search Appliance ми маємо 4 XSS, котрі наявні на 207000 сайтах. Якщо всі вони уразливі (не всі, але чимало з них), то виходить 207000 сайтів х 4 дірки = 828000 XSS (майже мільйон).

Інший приклад - UXSS уразливості. Як можна дізнатися з Гугла, в Інтернеті до 302 мільйонів pdf файлів на сайтах (на більшості сайтів) і майже всі вони уразливі до UXSS. Так що існують способи, щоб швидко знайти велику кількість XSS. І за допомогою Гугл дорків можна знаходити інші уразливості у великій кількості (про що я писав у статтях про “Warning” Google хакінг).


Leave a Reply

You must be logged in to post a comment.