Xss

Материал из InformationSecurity WIKI
Версия от 14:40, 6 октября 2015; Drakylar (обсуждение | вклад) (Новая страница: «Cross Site Scripting — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-сист…»)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Cross Site Scripting — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

ВАЖНО!! Статья пока что не включает в себя DOM XSS!

Нахождение XSS

Разделим нахождение на несколько пунктов

Поиск параметров

Для нахождения параметров можно либо воспользоваться программкой, встроенной в BurpSuite, либо найти все параметры вручную сниффером.

Чтобы включить spider'а, нужно правой кнопкой по директории -> Spider this host

Включение spider'а в BurpSuite

Подстановка

Для проверки параметров первоначально нужно удостовериться, что код выводится на странице.

(позже допишу)