Perché non riesco a testare la vulnerabilità XSS?

0

Sto utilizzando DVWA e riscontrando problemi nell'eseguire una vulnerabilità XSS semplice e riflessa. L'inserimento del testo suggerito non produce un popup in Firefox o Chrome. Ci sono delle impostazioni che devo regolare per eseguire l'attacco XSS riflesso? C'è qualcos'altro che mi manca?

    
posta TMoraes 26.02.2016 - 16:05
fonte

2 risposte

5

Se si tratta di una vulnerabilità XSS riflessa, molti browser Web moderni dispongono di funzionalità che ne impediscono l'esecuzione. Credo che se guardi nella tua console verrà visualizzato un messaggio se rileva un input dannoso e impedito l'esecuzione.

Dai un'occhiata a questa domanda per maggiori informazioni.

I credo sia possibile disabilitare questa funzione se avvii chrome dalla riga di comando e passi il flag --disable-xss-auditor .

    
risposta data 26.02.2016 - 16:21
fonte
1

Sembra che il testo inserito sia sottoposto a rendering in HTML (supponendo che ciò che è visualizzato in rosso sia il tuo vero input).

Assicurati che la Modalità di sicurezza sia stata impostata su Bassa o Media. L'alto livello dovrebbe essere sicuro, quindi non puoi sfruttarlo in questa modalità a meno che non trovi un nuovo vettore di attacco che tutti gli altri hanno mancato.

    
risposta data 26.02.2016 - 17:24
fonte

Leggi altre domande sui tag