たりくろす(今は公開してないのね)
はぅぁΣ(゜Д゜)
いいかげんな更新であれこれ止めたから一部アプり忘れていた模様。
さっそく上げなおします(´д`;
・・・うpりました。
いいかげんバージョン上げないといかんのだが(´д`; REFERER と Cookie 追従するようにしたのが手元にあるけど、これ OfficeXP でいじっちゃったからなあ。
びみょんぬ。
たりくろすの自動運転で悩んでるのも、このパターンの多様性にあるわけで。ある程度仕組みを作ってリリースしちゃえばみんなでいじってもらえるかなあ、とか考えたりもするんですが。
ただしXSSの検査をひとつのツールで完結させるという思いよりは、『まずユーザ入力を受け付けて出力にそれが含まれるフォーム|CGI』を洗いだせるだけでも有用かなとも思っています。
ずばり脆弱点をはじきだせなくても、下手な鉄砲数うちゃ当たるなリクエストを送る事で見えてくる事もありますし。
で、方向性としてはXSSはオマケというか別途考えたほうがいいかなと思っているので保留です。
となると、現状のパターンを追加してやるという方向よりはサイトをクロールしてその情報を元にクエリーを送るという機能を必要かと色々考えているのでした。
確かにそうですねえ。入力が反映されるブツをとりあえずリストできるだけでもずいぶんと助かります。
CGI まわりの脆弱性って実はかなり残っていると思われるのですよ。
こないだ、無作為抽出したサイトを対象に XSS に絞ってテストしたら 55% のサイトに脆弱性を発見するといった夢を見ました。
典型的なパターンを使うだけでもずいぶん発見できるんじゃないかと思います。