elenhil
Июнь 7, 2011 23:04:50
здраствуйте, господа питонеры!
назрел такой вопрос
в качестве курсовой пишу программу-анализатор сайтов на распространенные уязвимости
с SQL- PHP-инъекциями все прошло гладко - там нужно просто изменять URL и смотреть на вывод
а с XSS все получается сложнее
для тех, кто не знает - XSS - ошибка в коде, позволяющая в форму вставить соответствующий запрос, в результате чего мы сможем выполить вредоносный java-скрипт на сервере
так вот в чем собсно вопрос
как средствами питона обнаружить все возможные формы на сайте(это я, в принципе, могу сделать, просто отпарсив по тегу <input>), и, самое главное - как вставить в формы нужный мне запрос?
никак не приходит в голову, как это реализовать, спасайте =)
easlanov
Июнь 8, 2011 08:52:56
elenhil
как средствами питона обнаружить все возможные формы
Распарсить по тегу form
elenhil
как вставить в формы нужный мне запрос
Из каждой формы получить method, action и имена всех полей формы, подставить “нужные” значения и отправить на сервер соответсвующим методом. Как постить на питоне, можно посмотреть в документации питона более подробно.
import urllib
import urllib2
url = 'http://www.someserver.com/cgi-bin/register.cgi'
values = {'name' : 'Michael Foord',
'location' : 'Northampton',
'language' : 'Python' }
data = urllib.urlencode(values)
req = urllib2.Request(url, data)
response = urllib2.urlopen(req)
the_page = response.read()
Пример взят
отсюда