Quali sono alcuni modi per controllare XSS (Cross-Site-Scripting) su un sito Web? [chiuso]

Non ho in mente uno strumento specifico, ma qualcosa che guardava il traffico di rete e che i cookie identificati venivano inviati a domini diversi dall'emittente avrebbe rilevato la situazione che descrivi.

Per quanto riguarda la domanda "Un utente malintenzionato può ancora ricevere i cookie inserendo uno script XSS su un sito Web basato su HTTPS?" la risposta è si." Ci sono un certo numero di protezioni nei browser moderni per aiutare a prevenire questo, ma sfortunatamente, nessuno dei default, il CORS è il principale a cui sto pensando, impedisce che i dati vengano esfiltrati senza almeno un coinvolgimento dello sviluppatore.

Le due cose principali che uno sviluppatore di siti dovrebbe fare per impedire l'estrazione di cookie sono:

• usa il flag HttpOnly quando imposti un cookie, che indica al browser di non fornire l'accesso al cookie nel suo motore JavaScript.
• sfugge a tutti gli input che vengono visualizzati su una pagina. Ciò impedisce l'inserimento iniziale di javascript potenzialmente dannosi.

I believe I was a recent victim to an XSS script that gathered my cookies; however, I am not for sure certain. I am wondering if there is any way for me to check (I removed all my cookies).

Non esiste un modo semplice per verificare se come visitatore del sito, non un webadmin è stato vittima di un attacco XSS.

Se si trattava di un attacco riflesso (il che significa che il carico utile sarebbe nell'URL) puoi guardare attraverso la cronologia di navigazione e vedere se trovi qualcosa che assomigli e il carico utile XSS nell'URL: s al sito in questione che hai visitato.

Se si trattava di un attacco memorizzato, dovresti passare attraverso il codice sorgente delle pagine che hai visitato e cercare di determinare che cosa fa il codice e se ci sono cose di pesce in corso. Questo è un progetto abbastanza grande e richiederebbe molte conoscenze sullo sviluppo web.

Se sei preoccupato specificamente riguardo al furto di cookie, puoi visitare nuovamente il sito (assicurati di non inserire alcuna informazione sensibile) e vedere quali cookie ha impostato e se sono contrassegnati con HttpOnly . Se lo sono, non possono essere rubati con XSS. Tuttavia, ci sono molte altre cose cattive (come keylogging) che puoi fare con XSS quindi non sono sicuro che questo sarebbe un esercizio significativo.

Can an attacker still receive your cookies by inserting a XSS script on a HTTPS based website?

HTTPS non protegge in alcun modo contro XSS - non è ciò che è progettato per fare. HTTPS protegge i tuoi dati dallo sniffing o dal giochino mentre sono in transito dal server al client. XSS, d'altra parte, inganna il server per inviarti uno script prima i dati raggiungono il livello TLS ed è crittografato.

How could they receive my credit card cookie details if the website is HTTPS based?

Vedi sopra. Ma è importante capire che le carte di credito dovrebbero mai essere memorizzate nei cookie. Fare così è una pratica orribile, e indovinerei una violazione del PCI. (Questo non significa che XSS non possa essere usato per rubare i dati della carta di credito - può, anche se le informazioni non sono nei cookie.)

Any advice or answers will help, thanks.

La mia risposta potrebbe non essere molto incoraggiante per te. La versione breve è che è molto difficile per te sapere se sei stato vittima di un attacco XSS.

Quindi quello che vorrei fare è contattare il sito in questione, spiegare loro perché sei preoccupato (ad esempio riguardo all'avvertimento ricevuto dal tuo amico) e chiedi loro se sono a conoscenza di eventuali problemi.

Altre precauzioni che puoi prendere è:

• Modifica la password sul sito.
• Se puoi controllare la cronologia dei tuoi accessi (o qualsiasi altra cronologia di azioni come acquisti), fallo e guarda se c'è qualcosa che non hai fatto.