XSS уязвимости на примере Ч.2 Всем Асап. Это вторая часть | Hacked by Python
XSS уязвимости на примере Ч.2
Всем Асап. Это вторая часть серии постов про XSS уязвимости на примере. Сегодня постараюсь рассмотреть и показать Вам принцип работы XSS "Хранимого" типа. Погнали.
#Хранимые XSS
Хранимые XSS это тип Кросс-сайт сриптинга где, полезная нагрузка которого обрабатывается на серверной стороне. А именно взаимодействует с базами данных.
#Принцип действия
Веб-сайт блог, который позволяет пользователям публиковать комментарии. К сожалению, эти комментарии не проверяются на предмет того, содержат ли они JavaScript или отфильтровывают какой-либо вредоносный код. И если мы сейчас опубликуем комментарий, содержащий JavaScript, он будет сохранен в базе данных, и у каждого другого пользователя, который сейчас посещает статью, будет запускаться JavaScript в своем браузере.
Таким образом, вредоносный код который мы встраиваем в Java Script, в качестве полезной нагрузки позволяет нам перенаправлять пользователей на другой сайт, который может быть нашим фишинговым сайтом, красть cookie файлы, и даже установить обратное подключение.
Всем спасибо, скоро новые интересные посты!