Script XSS in console

5

Bene, ho bisogno di sapere che è possibile inserire lo script xss tramite la console degli strumenti dello sviluppatore (ad esempio firebug di firefox)? È un modo corretto?

    
posta user2376425 07.11.2013 - 06:17
fonte

3 risposte

14

Ovviamente è possibile. È letteralmente una console che puoi eseguire ed eseguire JavaScript arbitrario in.

Come esempio, ecco che apro una finestra di avviso in questa stessa pagina:

Questo è pericoloso solo se il tuo utente finale è abbastanza stupido da eseguire codice in dev-tools che non capisce.

In alternativa se c'è un exploit disponibile nel plug-in, la tua chiamata può anche essere sfruttata per sfruttare gli attacchi XSS

    
risposta data 07.11.2013 - 06:43
fonte
3

Mi sembra che tu non possa capire cosa sia XSS. Diamo un'occhiata a la definizione che OWASP ha :

Cross-site scripting (XSS) attacks occur when an attacker uses a web application to send malicious code, generally in the form of a browser side script, to a different end user.

Vorrei sottolineare l'ultima parte di questa definizione: "... a un altro utente finale."

Nella mia mente, per qualificarsi come un attacco XSS è necessario inviare una richiesta a un sito Web e chiedere a quel sito di rispondere con il contenuto malevolo. I modi in cui ciò può accadere sono in genere suddivisi in due diversi metodi:

Reflected XSS: Part of your URL is rendered on the page and the attack payload is part of your URL. You need to trick users into clicking your link to execute the attack.

Stored XSS: The XSS is stored on the server itself due to insecure programming. Then when a user visits the page with the XSS payload, the attack is called up from the server. The user just needs to visit the page, no link clicking required.

In base a quanto detto sopra, direi che l'XSS non è possibile attraverso la console. Piuttosto, stai solo eseguendo javascript di tua scelta sul tuo browser locale. Non saresti in grado di attaccare un altro utente.

    
risposta data 08.11.2013 - 00:55
fonte
-2

Puoi modificare l'attributo maxlength di un input in questo modo.

prima si cerca l'id dell'input e si digita questo nella console

var inp = document.getElementById("id_name");

Quindi modifichi l'attributo maxlength digitandolo nella console

inp.setAttribute("maxlength","2000");

Dopo averlo fatto, puoi scrivere fino a 2000 caratteri nell'input selezionato.

Questo non è un attacco XSS da solo, ma se la vittima dipende dall'attributo maxlength (senza alcuna convalida del modulo sul lato server) per proteggere il sito Web, questo darà all'aggressore la libertà di inviare tanto codice quanto vogliono il server.

    
risposta data 05.03.2015 - 18:14
fonte

Leggi altre domande sui tag