Testowanie pod kątem wstrzykiwania kodu javascript.

XSS to atak pozwalający na wstrzyknięcie i wykonanie mogącego wykonać złośliwe działanie kodu HTML lub JavaScript. Może to zostać wykorzystane do kradzieży krytycznych danych (na przykład danych sesji) z plików cookie. Jako, że kod zostaje wykonany w kontekście podatnej aplikacji umożliwia to wykonanie innych ataków jak phishing, logowanie klawiatury, czy przekierowanie użytkownika na złośliwą stronę. W przypadku „stored Cross-Site Scripting” wstrzyknięty kod zostaje na stałe umieszczony w aplikacji przez co jest bardziej niebezpieczny od „Reflected Cross-Site Scripting” gdzie atakujący musi podesłać ofierze specjalnie przygotowany link.


W jednej z badanych aplikacji zidentyfikowano wiele parametrów podatnych na wstrzyknięcie kodu javascript. Poniżej zaprezentowany został fragment żądania z zaznaczonym na czerwono wstrzykniętym złośliwym kodem. Wykonuje on akcję wyświetlającą powiadomienie typu Alert, a jego celem jest tylko dokumentacja, że taki atak jest możliwy. Podczas prawdziwego ataku hacker najczęściej za pomocą XSS wykrada ciastko sesyjne.


fragment żądania z zaznaczonym na czerwono wstrzykniętym złośliwym kodem


Na rysunku poniżej widoczne jest wykonanie złośliwego kodu w przeglądarce ofiary poprzez akcję wyświetlającą powiadomienie typu Alert.


wykonanie złośliwego kodu w przeglądarce ofiary poprzez akcję wyświetlającą powiadomienie typu Alert

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , , , , , .Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu