Catégories

← View All Tools

Détecteur de Payloads XSS

Détecte les vecteurs d'attaque XSS (Cross-Site Scripting) dans les chaînes d'entrée

Détecteur de Payloads XSS

Cet outil aide à identifier les vulnérabilités XSS potentielles dans votre entrée :

Catégories de Détection :

  • Balises de Script : <script>, </script>, <script.*?>
  • Gestionnaires d'Événements : onclick, onload, onerror, onmouseover, etc.
  • Protocoles Dangereux : javascript:, vbscript:, data:
  • iframe/frame : <iframe>, <frame>
  • Object/Embed : <object>, <embed>
  • Injection de Style : <style>, expression(), -moz-binding
  • XSS basé sur SVG : balises <svg> avec gestionnaires d'événements
  • XSS basé sur DOM : innerHTML, eval(), document.write()

Niveaux de Risque :

  • FAIBLE : Balises HTML de base sans scripts
  • MOYEN : Gestionnaires d'événements et protocoles
  • ÉLEVÉ : Balises de script et payloads codés
  • CRITIQUE : Payloads XSS complets et exécutables

Detect onclick, onload, onerror, and other event handlers

Detect <script> tags and related patterns

Detect javascript:, vbscript:, data: protocols

Detect URL-encoded and HTML entity-encoded attacks

Decode HTML entities and URL encoding before analysis

Maximum depth for nested pattern analysis

Points clés

Catégorie
Security
Types d’entrée
textarea, checkbox, number
Type de sortie
json
Couverture des échantillons
4
API disponible
Yes

Vue d’ensemble

Le Détecteur de Payloads XSS est un outil de sécurité en ligne qui analyse les chaînes de texte pour identifier les vecteurs d'attaque Cross-Site Scripting. Il détecte les balises de script, les gestionnaires d'événements, les protocoles dangereux et autres patterns XSS, en fournissant des niveaux de risque pour une évaluation rapide des vulnérabilités.

Quand l’utiliser

  • Lors de la validation des entrées utilisateur dans les formulaires ou commentaires de sites web.
  • Pendant les audits de sécurité pour scanner les fichiers journaux ou les extraits de code.
  • Avant le déploiement d'applications web pour vérifier l'absence de vulnérabilités XSS dans les données.

Comment ça marche

  • Collez ou saisissez le texte à analyser dans le champ 'Texte à Analyser'.
  • Configurez les options de détection, comme activer la vérification des balises de script ou des protocoles dangereux.
  • Lancez l'analyse pour obtenir un rapport JSON détaillé listant les vecteurs XSS détectés avec leurs niveaux de risque.

Cas d’usage

Validation des commentaires d'utilisateurs sur un blog avant publication pour prévenir les injections XSS.
Scan de journaux d'accès serveur pour détecter les tentatives d'attaque XSS dans les requêtes.
Revue de code source pour identifier les chaînes de caractères vulnérables aux attaques XSS.

Exemples

1. Détection de XSS dans un commentaire utilisateur

Contexte
Un modérateur de forum doit vérifier un commentaire suspect soumis par un utilisateur.
Problème
Identifier rapidement si le commentaire contient des payloads XSS avant de l'approuver.
Comment l’utiliser
Copiez le texte du commentaire dans l'outil et activez toutes les options de détection par défaut.
Résultat
L'outil détecte un gestionnaire d'événements onmouseover avec un niveau de risque MOYEN, permettant de rejeter le commentaire.

2. Audit de code pour vulnérabilités XSS

Contexte
Un développeur effectue une revue de sécurité sur un script JavaScript.
Problème
Trouver les chaînes de caractères qui pourraient être exploitées pour des attaques XSS dans le code.
Comment l’utiliser
Extrayez les chaînes pertinentes du code et analysez-les avec l'outil en vérifiant spécifiquement les balises de script et les protocoles.
Configuration d’exemple
Activer 'Vérifier les Balises de Script' et 'Vérifier les Protocoles Dangereux' dans les options.
Résultat
Plusieurs vecteurs XSS critiques sont signalés, notamment des balises <script> encodées, nécessitant une correction immédiate.

Tester avec des échantillons

html, text
Exemples de Payloads XSS
Collection éducative de payloads de cross-site scripting (XSS) pour les tests de sécurité et validation
title token xss,payload
text
Exemples JWT
Exemples complets de JWT de la structure de base des tokens aux implémentations de sécurité avancées
matched family text
text
Exemples d'Injections SQL
Collection éducative de payloads d'injection SQL pour les tests de sécurité, l'évaluation des vulnérabilités et les pratiques de codage défensif
matched family text
text
Exemples d'Analyse de Journaux Nginx
Échantillons complets de journaux Nginx pour tester l'outil log-parser, incluant divers formats et scénarios de journaux d'accès et d'erreur
matched family text
text

Hubs associés

Outils Text pour Convert
Découvrez 80 outils text pour des workflows de convert et comparez rapidement des utilitaires proches.
Outils Text
Découvrez 33 outils text pour des workflows de utility et comparez rapidement des utilitaires proches.
Outils Text pour Analyze
Découvrez 12 outils text pour des workflows de analyze et comparez rapidement des utilitaires proches.
Outils Html pour Convert
Découvrez 11 outils html pour des workflows de convert et comparez rapidement des utilitaires proches.

FAQ

Quels types de payloads XSS sont détectés ?

L'outil détecte les balises <script>, les gestionnaires d'événements comme onclick, les protocoles javascript:, et d'autres patterns tels que les injections de style ou les payloads encodés.

Puis-je analyser des fichiers entiers avec cet outil ?

Oui, en copiant le contenu du fichier dans le champ texte. L'outil n'accepte pas les uploads de fichiers directs, mais le collage fonctionne pour tout texte.

Comment interpréter les niveaux de risque dans les résultats ?

Les niveaux FAIBLE, MOYEN, ÉLEVÉ et CRITIQUE indiquent la sévérité des vecteurs XSS, allant des balises HTML basiques aux payloads exécutables complets.

L'outil modifie-t-il le texte analysé ?

Non, il analyse uniquement le texte fourni et génère un rapport sans altérer l'entrée originale.

Est-ce que l'outil fonctionne hors ligne ?

Oui, une fois la page chargée, l'analyse s'exécute côté client sans nécessiter de connexion internet.

Documentation de l'API

Point de terminaison de la requête

POST /fr/api/tools/xss-payload-detector

Paramètres de la requête

Nom du paramètre Type Requis Description
text textarea Oui -
checkEventHandlers checkbox Non Detect onclick, onload, onerror, and other event handlers
checkScriptTags checkbox Non Detect