XSS: alert () non eseguito su diversi SO / computer

2

Ho riscontrato uno strano comportamento mentre eseguivo un controllo di sicurezza di un'applicazione web. Alcuni input controllati dall'utente stavano visualizzando i loro valori, non codificati, nella pagina che ha elaborato la richiesta. Dopo aver provato alcuni caratteri per vedere se sono stati codificati / rimossi, ho optato per il classico <script>alert(1);</script> per fornire un vettore di "attacco" di esempio. L'avviso è stato visualizzato mentre lo provavo sul mio computer - Debian / CentOS / Windows 8.1 - (sia su Chrome che su Firefox), ma non funzionava su un altro computer - Windows 7 - né su Chrome, né su Firefox o Internet Esploratore. Il codice era ancora non codificato nell'origine della pagina, ma l'avviso non è mai spuntato. Ho eseguito vari codici JavaScript e ha funzionato (assegnando una variabile, reindirizzamento ecc.). Mi sono assicurato che nessun componente aggiuntivo interferisse con quello che stavo facendo. Cosa potrebbe causare questo?

    
posta RC004 17.09.2014 - 10:07
fonte

1 risposta

1

Sarei tentato di inserire un proxy tra il server e il client e confrontare l'output del byte di richiesta per il byte. Questo dovrebbe escludere le differenze tra i server a causa delle intestazioni del browser nella richiesta, ecc. E lo restringerà alle differenze locali. È quindi possibile acquisire l'output nel proxy e caricarlo in ciascuno dei browser su ciascuna macchina (come una replica della risposta, non solo caricata come un file, ovvero intrappolare l'invio / risposta e sostituire la risposta) e vedere i risultati - questo escluderebbe il filtraggio di rete tra la ricezione locale delle risposte e il passaggio al browser per il rendering. Saprai quindi in quale punto della catena potrebbe trovarsi la differenza.

    
risposta data 18.09.2014 - 10:33
fonte

Leggi altre domande sui tag