Плагин для Burp может тестировать веб-страницы на наличие XSS

Олег Иванов 23 Октября 2017 - 16:02

Домашние пользователи

Общее

Системы для анализа защищенности информационных систем

Средства тестирования на проникновение

Атаки на сайты

Уязвимости сайтов

...

Плагин для Burp может тестировать веб-страницы на наличие XSS

Исследователи опубликовали интересное расширение, позволяющее находить «отраженный» XSS (reflected XSS) на странице в режиме реального времени. Получивший название reflector, плагин может подсвечивать рефлексию, тестировать, какие символы разрешены в этой рефлексии и анализировать ее контекст.

После установки плагина просто нужно начать работу с тестируемым веб-приложением. Каждый раз, когда обнаружена рефлексия, расширение определяет его тяжесть и генерирует результат.

Когда reflector обнаруживает проблему, активируется опция «Агрессивный режим» (Aggressive mode) и плагин начинает проверять, какие из специальных символов отображаются на этой странице. В режиме проверки контекста reflector отображает не только специальные символы, которые отражаются на странице, но и вычисляет символ, который позволяет разбить синтаксис в коде страницы.

На рисунке ниже вы можете наблюдать ответ сервера при использовании reflector:

Режим «Scope only» позволяет reflector работать только с добавленными веб-сайтами. Кроме того, вы можете управлять белым списком типов контента, с которым должен работать плагин.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Татьяна Никитина 05 Декабря 2025 - 15:02

Вирусы-вымогатели Вирусы-шифровальщики Взлом сайтов Взлом программ Общее

Среднестатистический хакер — не юнец, а его дядюшка

В Orange Cyberdefense обработали данные о 418 инцидентах, попавших в поле зрения правоохранительных органов в период с 2021 года по середину 2025-го, и обнаружили, что 37% идентифицированных авторов атак — мужчины 35-44 лет.

Еще 30% выявленных преступников — представители возрастной группы от 25 до 34 лет. Доля тинейджеров и 45+ в этой выборке оказалась одинаковой — по 5%.

Первая в своем роде статистика приведена в особом разделе отчета о киберугрозах Security Navigator 2026 французской ИБ-компании. Полученные результаты опровергают бытующее представление о том, что хакерство в основном прерогатива юнцов вроде Scattered Lapsus$ Hunters, часто попадающих в заголовки профильных СМИ.

Поведение возрастных групп киберкриминала тоже разнится. Молодежь (от 18 до 24 лет), движимая любопытством и жаждой славы, действует импульсивно и по ситуации, стремясь заявить о себе громкими взломами, DDoS-атаками и мелкими кражами. Осознание, что из таких «подвигов» можно извлечь материальную выгоду, приходит к ним позднее.

Гораздо больший урон обитателям всемирной паутины наносят преступники, достигшие зрелого возраста (35-44). Они действуют прицельно, обстоятельно и воспринимают свою противозаконную деятельность как способ заработка, занимаясь в основном вымогательством, разработкой зловредов, кибершпионажем и отмыванием денег.

Примечательно, что 90% выявленных авторов атак — мужчины. Национальный состав киберпреступников по выборке оказался следующим:

россияне — 23%;
американцы — 11%;
китайцы — 11%;
украинцы — 9%;
граждане КНДР — 5%.

Стоит отметить, что почти половина набора данных, по которому работали эксперты, — это публикации о разгромных акциях с участием США. Имя американского Минюста было упомянуто в 16% обнародованных инцидентов, ФБР — в 12%.

Правоохрана Германии засветилась в 7% зафиксированных кейсов, Европол — в 5%, британские спецслужбы — в 3%.

Новый отчет французских экспертов о ландшафте киберугроз составлен (PDF) по результатам анализа 139 тыс. ИБ-инцидентов, внесенных в банк данных Orange Threat Intelligence и базы сторонних OSINT в период с октября 2024 года по сентябрь 2025-го.

Плагин для Burp может тестировать веб-страницы на наличие XSS

Читайте также