Testen auf Javascript-Injektion.

XSS ist ein Angriff, der eine Injektion und Ausführung ermöglicht, die bösartige HTML- oder JavaScript-Aktionenausführen kann. Dies kann verwendet werden, um kritische Daten (z. B. Sitzungsdaten) aus Cookieszu stehlen. Da der Code im Kontext einer anfälligen Anwendung ausgeführt wird, können Sie andere Angriffe wie Phishing, Tastaturanmeldung oder Benutzerumleitung auf eine bösartige Seite ausführen. Im Falle von "stored Cross-Site Scripting" wird der injizierte Code dauerhaft in die App eingefügt, was gefährlicher ist als "Reflected Cross-Site Scripting", bei dem der Angreifer dem Opfer einen speziell vorbereiteten Link zusaugte.


In einer der untersuchten Anwendungen wurden mehrere Parameter identifiziert, die anfällig für javascript-Injektionen sind. Im Folgenden wird ein Auszug aus der Anforderung mit rot markiertem bösartigen Code angezeigt. Er führt eine Aktion aus, die eine Warnung anzeigt,und zielt nur darauf ab, zu dokumentieren, dass ein solcher Angriff möglich ist. Bei einem echten Angriff stehlen Hacker am häufigsten mit XSS einen Sitzungskeks.


Anforderungsfragment mit rot markiertem bösartigen Code


In der folgenden Abbildung wird die Ausführung von bösartigem Code im Opferbrowser durch eine Aktion angezeigt, die eine Warnung anzeigt.


Ausführen von bösartigem Code im Browser des Opfers durch eine Aktion, die eine Warnung anzeigt

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Speichere in deinen Favoriten diesen permalink.

Podziel się swoją opinią na temat artykułu