В Сети появился новый архив ХSS-уязвимостей

На днях стало известно о начале работы нового архива ХSS-уязвимостей. По словам создателей проекта XSSposed , архив станет некой альтернативой и продолжением ранее существовавшего ресурса xssed.org.

XSSposed создавался по подобию своего предшественника. Так, это открытый некоммерческий каталог уязвимостей Cross-Site Scripting (XSS). Ожидается, что на сайте будут публиковать данные о брешах, найденных на всех доступных интернет-ресурсах.

Отметим, что каждый желающий сможет сообщить о наличии ХSS-уязвимости на том или ином сайте. В архиве существует рейтинг пользователей по никам, а наиболее активные «источники информации» получают медали. Регулярно осуществляется очистка логов.

Для того чтобы сообщаемый код был включен в состав архива, его введение должно вызывать появление окна с текстом XSSPOSED на странице того или иного ресурса. Известно, что в архиве, помимо прочего, будут доступны инъекции фреймов и открытые редиректы. Последний, если верить ресурсу XSSposed, был найден на сайте «Лаборатории Касперского».

Создатели ресурса подчеркивают, что модерация XSS-зеркал происходит очень быстро: уязвимости размещают в архиве сразу после проверки. Они также уверяют, что не намерены удалять данные об уязвимости из-за взятки или по каким-либо другим соображениям.

На момент написания заметки в архиве находилось 87 зеркал для 60 уязвимых сайтов, а информацию пока предоставили 30 пользователей.