È possibile ottenere la password con XSS memorizzato? [chiuso]

Naviga le tue risposte
-4

È possibile ottenere la password da un sito con XSS memorizzato? Ho un forum in cui posso inserire JavaScript non direttamente ma all'interno di HTML (come <div onclick="alert()">CLICK</div> ). È possibile sfruttarlo per ottenere password?

    
posta Blazed 29.05.2016 - 14:49
fonte

1 risposta

1

Non c'è modo di ottenere direttamente la password

Non puoi ottenere la password dell'utente direttamente dal forum. Semplicemente perché non puoi accedere al browser usando javascript. Quindi non sarai in grado di ottenere le password salvate nel browser. Questo sarebbe un errore di sicurezza enorme

Ci sono 2 modi per accedere a un account da una vulnerabilità XSS

  • Come abbiamo visto, non è possibile ottenere direttamente le password mentre il utente clicca sul tuo link. Ma, pensa in un altro modo. Un primo modo è quello di estrai i cookie degli utenti. Utilizzando AJAX , puoi inviare POST e GET richiesta in background. L'utente non sarà informato in questo richiesta. Detto questo, è possibile inviare i cookie (portarli con document.cookies utilizzando JavaScript) per un indirizzo che controlli. È quindi possibile iniettare quei cookie nel browser e inserire l'account della vittima.
  • Il secondo modo si riferisce alla falsa pagina di login. Quando clicchi sul tuo link, l'utente penserà che è stato disconnesso mentre lui solo arrivato sulla tua pagina falsa, che è ancora nel dominio corretto. Questo la mia risposta al riguardo . È possibile modificare la pagina con il proprio codice sorgente e inviare l'ID al server quando la vittima fa clic sul pulsante Connetti.
risposta data 29.05.2016 - 15:02
fonte

Leggi altre domande sui tag

Qual è la differenza tra dati e informazioni quando si tratta di sicurezza dei dati? [chiuso] È possibile utilizzare un IP pubblico di qualcuno? [chiuso]