Se faccio un test con un classico <script>alert(1)</script> , il proprietario del sito web vede il mio tentativo? L'XSS lascia qualche traccia dietro?
Cercherò di costruire un piccolo server sulla mia Ubuntu con un gruppo di siti Web per testare qualcosa. Dove posso trovare la prova nel sistema operativo o nel server?
Sostanzialmente tutto.
Se il vettore XSS ( <script>alert(1)</script> nel tuo caso) fa parte di:
- HTTP headers (including cookies)
- URL (path, query string) except the anchor part
- POST data (including uploaded files)
Quindi il proprietario del sito web è in grado di vederlo.
Se il tuo vettore XSS è solo lato client, il proprietario del sito web può ancora loggarlo se Content-Security-Policy è stato configurato per registrare gli attacchi.
Non farlo, a meno che non ti sia stato permesso di farlo.
L'esecuzione del proprio server web non è difficile:
echo "<?php echo $_GET['xss'];" > index.php
php -S 0.0.0.0:80
Questo avvierà un webserver disponibile al link .
Inoltre, controlla alcuni progetti come dannata applicazione web dannosa , creati per aiutare le persone ad imparare alcune vulnerabilità.
Inoltre, per XSS esistono molte risorse per apprenderle:
Qui puoi vedere un esempio di un XSS riflesso testato contro DVWA:
10.0.0.1 - - [15/Mar/2018:14:47:24 +0000] "GET /vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28%27xss%27%29%3B%3C%2Fscript%3E HTTP/1.1" 200 1715 "http://10.0.0.1/vulnerabilities/xss_r/" "Mozilla/5.0 (X11; Linux x86_64; rv:59.0) Gecko/20100101 Firefox/59.0"
Se dispone di qualsiasi tipo di sicurezza aggiuntiva come un IDS o un WAF, verrà rilevato e informato dal proprietario del sito web.