Devo fare una presentazione su XSS. Voglio dare una demo ma non riesco a trovare piattaforme di test. Ho trovato link ma questo sito mostra sempre un blocco FireHost quando provo a eseguire uno script nella casella di ricerca.
C'è qualcuno che conosce il motivo di questo problema? Qualcuno ha un elenco di siti Web vulnerabili XSS legali?
Ci sono molti siti su cui è possibile eseguire l'attacco XSS. Alcuni siti sono demo.testfire.net, hax.tor.hu, hackthissite.org, astalavista.com. Puoi utilizzare demo.testfire.net, gestito da IBM e utilizzato per la demo di Appscan.
Esistono distro linux speciali, come badstore. È un web store vulnerabile. Anche dannatamente vulnerabili linux offre buoni quiz sul web.
dovresti controllare OWASP poiché si riferisce direttamente alla tua presentazione. In particolare per rispondere alla tua domanda, dovresti verificare che il progetto OWASP WebGoat è un'applicazione Web volutamente non sicura progettata per insegnare la sicurezza delle app Web. (E contiene XSS Vulns, tra molti altri) Puoi scaricarlo da qui: link
Inoltre, non è difficile dimostrare una vulnerabilità XSS se si dispone di conoscenze di programmazione di base. (PHP, ASP, Python). Crea una pagina che richiede un input, fallo pubblicare su una seconda pagina che prende quell'input e lo visualizza nuovamente sulla pagina. In PHP sarebbe qualcosa del genere:
index.php:
<?
if ( isset($_POST["posted"])) {
$name = $_POST["name"];
}
?>
<html>
<body>
<? if (isset($name)) {
echo "Hello, <b>" . $name . "</b>";
?>
<form action="index.php" method="post">
<input type="text" name="name" value="">
<input type="hidden" name="posted" value="1">
<input type="submit" name="Submit" value="Submit">
</form>
</body>
</html>
Leggi altre domande sui tag xss