XIB attacco vsibible in html ma nessuna esecuzione

0

Per testare XSS per un determinato sito web, nome utente nelle impostazioni dell'account su <script type="text/javascript">alert("XSS");</script> . Nel codice html è visibile e non è in esecuzione. Quando cambi il nome utente la pagina non si aggiorna, quindi la modifica del nome utente deve avvenire con JS. Perché lo script non è in esecuzione?

<div class="jss733 jss30 jss31"> "<script type="text/javascript">alert("XSS"); </script>" <b class="jss45 jss46 jss48"></b> </div>

    
posta Nikola Mitrovic 30.08.2018 - 16:06
fonte

2 risposte

2

Questo accade perché gli strumenti di sviluppo del tuo browser rappresentano in modo errato il valore del tag. Probabilmente il contenuto è stato corretto per l'escape, ma il tuo browser sta cercando di essere utile mostrandolo senza caratteri di escape. Nota come il tag nel tuo esempio è completamente grigio e non la sintassi evidenziata come il resto dell'HTML.

    
risposta data 30.08.2018 - 16:12
fonte
1

Esiste un numero qualsiasi di motivi che vanno da "Questo sito Web non è vulnerabile a XSS" fino a "È necessario eseguire il massaggio della stringa XSS".

Ottenere il funzionamento dei popup XSS è un po 'un'arte. La vista Elemento di Ispezione non è il modo migliore per visualizzarla perché mostra il modo in cui il browser ha analizzato l'HTML, ma l'intero punto di XSS è ingannare il parser HTML.

Invece, visualizza il sorgente della pagina e ctrl + f per la stringa alert("XSS") . Innanzitutto, come suggerisce @Sjoerd, controlla se la tua stringa viene sottoposta a escape (cioè vedi <script> o &lt;script&gt; ?). Se sei stato scappato correttamente, non sarai in grado di fare XSS. Se non viene scappato, probabilmente c'è XSS. Per farlo funzionare, devi controllare dove il tuo testo viene inserito all'interno della fonte e chiudere qualsiasi stringa e tag in modo che il tuo tag <script> non sia sepolto all'interno di qualcos'altro. Ecco perché spesso i payload XSS iniziano con un preventivo e un tag di chiusura, come "</a><script>... . Questa parte richiede alcuni tentativi ed errori. Buona fortuna!

    
risposta data 30.08.2018 - 16:21
fonte

Leggi altre domande sui tag