Тестирование на внедрение javascript.

XSS — это атака, которая позволяет внедрять и выполнять вредоносные HTML или JavaScript. Это может быть использовано для кражи критически важных данных (например, данных сеанса) из файлов cookie. Поскольку код выполняется в контексте уязвимого приложения, это позволяет выполнять другие атаки, такие как фишинг, вход с клавиатуры или перенаправление пользователя на вредоносный веб-сайт. В случае«сохраненных межсайтовых сценариев»внедренный код постоянно помещается в приложение, что делает его более опасным, чем«Отраженный межсайтовый скриптинг»,где злоумышленник должен отправить жертве специально подготовленную ссылку.


Одно из изученных приложений выявило множество параметров, которые были подвержены введению javascript. Ниже приведен отрывок из запроса с вредоносным кодом, отмеченным красным цветом. Он выполняет действие, отображающее уведомление Alert,и нацелен только на документацию о том, что такая атака возможна. Во время реальной хакерской атаки, чаще всего с помощью XSS крадут сеансовый торт.


часть запроса с вредоносным кодом, отмеченным красным цветом


На рисунке ниже вы можете увидеть выполнение вредоносного кода в браузере жертвы через действие, которое отображает уведомление Alert.


Выполните вредоносный код в браузере жертвы с помощью действия, отображающего уведомление Alert

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Закладка Постоянная ссылка.

Podziel się swoją opinią na temat artykułu