जावास्क्रिप्ट इंजेक्शन के लिए परीक्षण।

XSS एक हमला है जो आपको दुर्भावनापूर्ण एचटीएमएल या जावास्क्रिप्ट को इंजेक्ट और निष्पादित करने की अनुमति देता है। इसका उपयोग कुकीज़ से महत्वपूर्ण डेटा (उदाहरण के लिए, सत्र डेटा) चुराने के लिए किया जा सकता है। चूंकि कोड को एक कमजोर एप्लिकेशन के संदर्भ में निष्पादित किया जाता है, इसलिए यह आपको अन्य हमलों जैसे फ़िशिंग, कीबोर्ड लॉगिन करने या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइट पर रीडायरेक्ट करने की अनुमति देता है। "संग्रहीत क्रॉस-साइट स्क्रिप्टिंग"के मामले में इंजेक्शन कोड को स्थायी रूप से आवेदन में रखा जाता है, जो इसे"परावर्तित क्रॉस-साइट स्क्रिप्टिंग"से अधिक खतरनाक बनाता है जहां हमलावर को पीड़ित को विशेष रूप से तैयार लिंक भेजना होगा।


अध्ययन किए गए आवेदनों में से एक ने कई मापदंडों की पहचान की जो जावास्क्रिप्ट इंजेक्शन के लिए अतिसंवेदनशील थे। निम्नलिखित लाल रंग में चिह्नित दुर्भावनापूर्ण कोड के साथ अनुरोध से एक अंश है। यह एक कार्रवाई करता है जो एक चेतावनी अधिसूचनाप्रदर्शित करता है, और यह केवल दस्तावेज़ीकरण को लक्षित करता है कि इस तरह का हमला संभव है। एक असली हैकर हमले के दौरान, अक्सर XSS का उपयोग कर एक सत्र केक चुरा रहा है ।


लाल रंग में चिह्नित दुर्भावनापूर्ण कोड के साथ अनुरोध का हिस्सा


नीचे दिए गए आंकड़े में, आप एक अलर्ट अधिसूचना प्रदर्शित करने वाली कार्रवाई के माध्यम से पीड़ित के ब्राउज़र में दुर्भावनापूर्ण कोड का निष्पादन देख सकते हैं।


अलर्ट सूचना प्रदर्शित करने वाली कार्रवाई के माध्यम से पीड़ित के ब्राउज़र में दुर्भावनापूर्ण कोड निष्पादित करें

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *