I tentativi XSS lasciano tracce sul server?

12

Se faccio un test con un classico <script>alert(1)</script> , il proprietario del sito web vede il mio tentativo? L'XSS lascia qualche traccia dietro?

Cercherò di costruire un piccolo server sulla mia Ubuntu con un gruppo di siti Web per testare qualcosa. Dove posso trovare la prova nel sistema operativo o nel server?

    
posta onec0de 15.03.2018 - 14:38
fonte

2 risposte

10

Che cosa può vedere il proprietario del sito web?

Sostanzialmente tutto.

Se il vettore XSS ( <script>alert(1)</script> nel tuo caso) fa parte di:

- HTTP headers (including cookies)
- URL (path, query string) except the anchor part
- POST data (including uploaded files)

Quindi il proprietario del sito web è in grado di vederlo.

Se il tuo vettore XSS è solo lato client, il proprietario del sito web può ancora loggarlo se Content-Security-Policy è stato configurato per registrare gli attacchi.

Come testare XSS senza essere notato?

Non farlo, a meno che non ti sia stato permesso di farlo.

Esegui il tuo server web vulnerabile

L'esecuzione del proprio server web non è difficile:

echo "<?php echo $_GET['xss'];" > index.php
php -S 0.0.0.0:80

Questo avvierà un webserver disponibile al link .

Applicazioni vulnerabili note

Inoltre, controlla alcuni progetti come dannata applicazione web dannosa , creati per aiutare le persone ad imparare alcune vulnerabilità.

Inoltre, per XSS esistono molte risorse per apprenderle:

risposta data 15.03.2018 - 14:43
fonte
2

Qui puoi vedere un esempio di un XSS riflesso testato contro DVWA:

10.0.0.1 - - [15/Mar/2018:14:47:24 +0000] "GET /vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28%27xss%27%29%3B%3C%2Fscript%3E HTTP/1.1" 200 1715 "http://10.0.0.1/vulnerabilities/xss_r/" "Mozilla/5.0 (X11; Linux x86_64; rv:59.0) Gecko/20100101 Firefox/59.0"

Se dispone di qualsiasi tipo di sicurezza aggiuntiva come un IDS o un WAF, verrà rilevato e informato dal proprietario del sito web.

    
risposta data 15.03.2018 - 15:49
fonte

Leggi altre domande sui tag