Cross-Site-Scripting (XSS)

XSS ist eine Technik, bei der Angreifer bösartige Skripte in eine Zielwebsite einschleusen und ihnen möglicherweise die Zugriffskontrolle auf die Website ermöglichen. Wenn eine Website Benutzern die Eingabe von Daten wie Kommentar, Benutzernamenfeld und E-Mail-Adressfeld ohne Kontrollen ermöglicht, kann der Angreifer auch ein Skript mit schädlichem Code einfügen.

ARTEN VON XSS

• Reflektiertes XSS
• Gespeichertes XSS
• Dom-Basis XSS

Reflektiertes XSS (Cross-Site-Scripting): RXSS

In diesem Fall werden keine Hackerdaten auf der Website gespeichert. reflektiertes XSS wird nur auf der Opferseite ausgeführt. Reflektiertes Cross-Site-Scripting Ein Hacker sendet ein Eingabeskript dieser Website, das dann an den Browser des Opfers reflektiert wird, wo der Hacker die schädlichen JavaScript-Payload ausführte. Versuchen wir es mit der virtuellen Umgebung mit Cross-Site-Scripting

Bedarf

• Xampp oder Wamp
• DVWA (Verdammt angreifbare Webanwendung)
• Browser wie Firefox, Explorer, Cyberfox, Chrome usw

DVWA Low Level Reflected XSS

Payload: <script>alert("xss")</script>

DVWA Medium Level Reflected XSS

Payload : <script>alert("hack by xinux")</script>

DVWA High Level Reflected XSS

Payload: <img src=x onerror=alert("xinux")>

Stored XSS (Cross site scripting):SXSS

Gespeichertes Cross-Site-Scripting (XSS) In diesem Fall wird der Hacker-Schadcode auf der Zielwebsite und dem Webserver gespeichert. wenn ein Angreifer bösartiges JavaScript in die Website senden kann und dieses Skript auf den Computern anderer Benutzer ausgeführt wird, das (XSS) Cross-Site-Scripting gespeichert wird

DVWA Low Level Stored XSS: Payload: <script>alert(document.domain)</script>

DVWA Medium Level Stored XSS Payload : <img src=x onerror=alert(document.domain)>

DVWA High Level Stored XSS Payload : <body onload=alert(“bingo”)>