Quiero crear (y actualizar en curso) una lista de vectores de entrada para mi sitio, incluidos los formularios (GET y POST, etc.).
Soy nuevo en las pruebas de escritura, y he sido apuntado a Burp (gratis). He Spidered mi sitio y veo un mapa del sitio completo.
¿Cuál es la mejor manera de filtrar esa lista (o de otra manera) para que pueda hacerme una idea sobre qué puntos considerar la protección para XSS y CSRF?
Puede filtrar o ver solicitudes parametrizadas (GET o POST). Estos se muestran en el mapa del sitio. Estos le mostrarán dónde la entrada podría conducir a una vulnerabilidad XSS o CSRF.
Sin embargo, tenga en cuenta que los ataques XSS también pueden ocurrir a través de encabezados HTTP o cookies, o cualquier otra fuente externa de datos para la aplicación.
¿Está diciendo que desea una lista de parámetros de solicitud? Si es así, no creo que sea posible, aunque puede filtrar solicitudes que contienen parámetros y solicitudes que no.
¿Cuál es la mejor manera de filtrar esa lista (o de otra manera) para que pueda hacerme una idea sobre qué puntos considerar la protección para XSS y CSRF?
La mejor manera de buscar problemas de XSS es verificar si los parámetros de entrada se reflejan como están en las respuestas correspondientes. Ya hay un complemento escrito para detectar si los parámetros de entrada se reflejan nuevamente en la respuesta, llamados Parámetros reflejados , pero dudo que sea solo para la versión Pro. Para buscar problemas de CSRF, puede verificar si la solicitud contiene un token y filtrar las solicitudes que contienen esa palabra clave (por ejemplo, Facebook usa fb_dtsg como un token anti-csrf).
Con estos en su lugar, puede proceder con pruebas reales.
Y, por lo que recuerdo, la versión gratuita de Burp Suite no permite filtrar solicitudes :( Para tu información, OWASP ZAP Proxy es una alternativa a Burp Suite, y es gratis.
Lea otras preguntas en las etiquetas burp-suite