JavaScript インジェクションのテスト。

XSSは、悪意のあるHTML やJavaScript を挿入して実行することを可能にする攻撃です。 これは、重要なデータ (セッション データなど) を Cookie から盗むために使用できます このコードは脆弱なアプリケーションのコンテキストで実行され、フィッシング、キーボード ログイン、ユーザーを悪意のある Web サイトにリダイレクトするなどの他の攻撃を実行できます。 "格納されたクロスサイト スクリプティング" の場合、挿入されたコードはアプリケーションに永続的に配置され、攻撃者が被害者に特別に準備されたリンクを送信する必要がある"反映されたクロスサイト スクリプティング" よりも危険です。


研究対象のアプリケーションの1つは、JavaScriptインジェクションの影響を受けやすい多くのパラメータを特定しました。 以下は、悪意のあるコードが赤でマークされたリクエストからの抜粋です。 アラート通知を表示するアクションを実行し、そのような攻撃が可能であることを示す文書のみを対象とします。 実際のハッカー攻撃の間 、XSSを使用する場合は、セッション ケーキを盗むことが多い。


赤でマークされた悪意のあるコードを含む要求の部分


下の図では、 アラート通知を表示するアクションを通じて、被害者のブラウザで悪意のあるコードが実行されていることがわかります。


警告通知を表示するアクションを通じて被害者のブラウザで悪意のあるコードを実行する

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

ブックマーク パーマリンク.

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です