Ok, quindi ho bisogno di sapere che lo strumento web Selenium può essere utilizzato per testare vulnerabilità e exploit xss. Se è possibile, per favore, forniscimi qualche esempio o tutorial. Si scusa, se ho torto di fare questa domanda.
Ok, quindi ho bisogno di sapere che lo strumento web Selenium può essere utilizzato per testare vulnerabilità e exploit xss. Se è possibile, per favore, forniscimi qualche esempio o tutorial. Si scusa, se ho torto di fare questa domanda.
Se si fa bollire un exploit XSS in base ai principi di base, è sufficiente inserire il testo in un campo. A tale riguardo, è possibile utilizzare Selenium WebDriver per eseguire un attacco XSS inserendo il codice appropriato nei campi di testo.
Detto questo, c'è molto di più nell'effettuare un attacco XSS piuttosto che inserire uno script in campi di testo. Potresti semplicemente scansionare pagine per campi di testo e inserire ciecamente il tuo carico utile, sperando per il meglio, ma non immaginerei che sia un sistema di consegna molto efficace. Quindi si giunge all'ostacolo di verificare se un payload ha avuto o meno successo. Potresti ricaricare la pagina e scansionare il DOM per il tuo script, ovviando ovviamente alle brutte sorprese che hai inserito e verificarlo in questo modo ma non sembra molto efficiente. C'è un periodo di ricerca / scoperta in ogni attacco riuscito a meno che tu non speri di colpirlo fortunato.
Da un punto di vista dell'automazione di test / controllo della qualità, ho potuto ritenerlo utile in termini di test con penna o di regressione. È possibile tentare di eseguire attacchi XSS su campi all'interno dell'applicazione Web. L'inserimento di tag di script e la garanzia che l'input sia respinto o gestito correttamente in base al risultato atteso potrebbe essere utile.
Dipende davvero dal tuo obiettivo. Stai cercando di testare e proteggere la tua app o trovare vulnerabilità in altri?
Leggi altre domande sui tag web-application appsec xss