Получи случайную криптовалюту за регистрацию!

​​ XSS уязвимости на примере Всем Асап! Сегодня я расскажу В | Hacked by Python

​​ XSS уязвимости на примере

Всем Асап! Сегодня я расскажу Вам про XSS на примере и постараюсь объяснить все тонкости, которые можно уместить в три поста. Итак начнем!

#Что такое XSS
XSS или же Cross-site scripting это атака которая позволяет Вам встроить java code в сайт а иногда даже в его базу данных, что может повлечь серьезные проблемы.

#Полезная нагрузка
Для внедрения XSS используются полезные нагрузки. Это готовые строчки кода, которые упрощают пентестеру жизнь. Давайте рассмотрим примеры полезных нагрузок.

1. Кража сеанса:
Детали сеанса пользователя, такие как токены входа, часто хранятся в файлах cookie на целевом компьютере. Приведенный ниже JavaScript принимает целевой файл cookie, base64 кодирует файл cookie для обеспечения успешной передачи и затем отправляет его на веб-сайт под контролем хакера для регистрации. Как только хакер получит эти файлы cookie, он сможет захватить сеанс цели и войти в систему как этот пользователь.




2. Key Logger:
Приведенный ниже код действует как регистратор ключей. Это означает, что все, что вы вводите на веб-странице, будет перенаправлено на веб-сайт, находящийся под контролем хакера. Это могло быть очень опасно, если бы полезная нагрузка веб-сайта была установлена на разрешенных логинах пользователей или данных кредитной карты.



#Reflected XSS
Всего бывают три вида XSS. Это reflected dom и stored. Давайте кратко рассмотрим первый вид.
Reflected xss это вид межсайтового скриптинга, в котором внедренный скрипт выполняется на стороне пользователя или же клиента. То есть, вы можете вывести слово или цифру с помощью строчки кода и если вы скинете ссылку человеку и он перейдет по ней, у него будет та же надпись что и у Вас.

Злоумышленник может отправлять ссылки или встраивать их в iframe на другом веб-сайте, содержащем полезную нагрузку JavaScript, потенциальным жертвам, заставляя их выполнить код в своем браузере, потенциально раскрывая информацию о сеансе или о клиенте.

После того как уязвимость найдена Злоумышленник может подключить программное обеспечение, которое упростит ему работу с кодом, просто нажав пару раз мышкой по интерфейсу программы.

Увидимся скоро
Следующее сообщение
telegram-store.com © 2016-2024
Неофициальный сайт про Telegram
Все права защищены. Копирование и использование полных материалов запрещено, частичное цитирование возможно только при условии гиперссылки на сайт telegram-store.com.