2013. augusztus 6., kedd

A Cross Site Scripting támadás alapjai

Szóval a Cross Site Scripting elég gyakori támadás és egyre gyakrabban fordul elő mint az Sql Injection. A Cross Site Scriptinget, XSS-nek is nevezik és elég sok az oldal amin lehet gyakorolni. De van DVWA(Damn vulnerable web application) nevű program amin ilyeneket (is )lehet gyakorolni
Akkor lehet is kezdeni. Telepítsd fel a DVWA-t vagy találj valami oldalt de fontos,hogy ne tegyél kárt semmiben én most olyan oldalon csinálom ahol nem marad ott amit csinálok 1 frissítés és eltűnik.Mivel is kell ezt kezdeni? Azzal kell kezdeni, hogy teszteljük hogy van-e xss sebezhetőség az oldalon. Írd be valahova például keresőbe vagy commentbox-ba <script>alert("XSS");</script> és ha azt kapod vissza amit a képen látsz akkor lehet próbálkozni tovább.. :)
Ha sebezhető az oldal akkor nagyon sok mindent lehet csinálni. Pl.:Be lehet tenni egy kiválasztott képet az oldalra. Ezt így lehet megoldani: <img src=kép url>
A felhasználók cookie-ját is el lehet így lopni... :)
<script>alert(document.cookie)</script>

És mint láthatjuk meg is jelent.
Lehet még sok mindent csinálni, de most csak az alapokat írtam le...Nem véletlenül lett a cikk címe: "A Cross Site Scripting támadás ALAPJAI" :D
Szerző: