1. घर
  2. सवाल और जवाब
  3. क्या यह एक वैध एक्सएसएस हमला

क्या यह एक वैध एक्सएसएस हमला

2010-01-12 16 views
8

एक्सएसएस हमलों की मेरी समझ फ़ॉर्म (लगातार एक्सएसएस हमले) के माध्यम से दुर्भावनापूर्ण इनपुट दर्ज करने वाले लोगों पर केंद्रित है।क्या यह एक वैध एक्सएसएस हमला

हालांकि मैं निरंतर समझने की कोशिश कर रहा हूं। (जाहिर चेतावनी अधिक भयावह कुछ के लिए प्रतिस्थापित किया जा सकता है ...) एक उदाहरण के रूप में इस है

http://localhost/MyProject/action.do?Title=<script>alert('XSS');</script>

स्रोत

2010-01-12 AJM

उत्तर

9

हां, बहुत कुछ, अगर आपने लॉग इन किया है तो विचार करें, ये स्क्रिप्ट आपकी कुकीज़ तक पहुंच सकती है और इसे हर जगह भेज सकती है।

स्रोत

2010-01-12 09:57:27 YOU

4

यह निश्चित रूप से, एक जोखिम है और कुछ नहीं, आप किसी को इस तरह XSS कोड के साथ लिंक भेज सकते हैं।

स्रोत

2010-01-12 09:55:30

14

उस लिंक के साथ एक समस्या, हालांकि, <tags> आमतौर पर यूआरएल में उन्हें पहले एन्कोड किए बिना यूआरएल में अनुमति नहीं है। तो उस लिंक को मेल करना या पोस्ट करना आपको बहुत अच्छा नहीं करेगा।

अधिक यथार्थवादी यूआरएल इसके बारे में इनकोडिंग फार्म होगा ..

http://localhost/MyProject/action.do?Title=%3Cscript%3Ealert%28%27XSS%27%29%3B%3C%2Fscript%3E%

इस URL पर क्लिक करने के बाद, गंतव्य वेब सर्वर Title मूल्य unescape हैं और अगर ...

<script>alert('XSS');</script>

... के रूप में लिखा गया है एचटीएमएल के बिना पृष्ठ पर से बच निकला है, यह बिल्कुल एक्सएसएस है।

स्रोत

2010-01-12 10:07:31

3

मेरे पास जेफ एटवुड के उत्तर पर टिप्पणी करने की प्रतिष्ठा नहीं है, इसलिए मैं इसके साथ असहमत हूं। इस तरह का एक लिंक निश्चित रूप से चारों ओर मेल किया जा सकता है और उन साइटों का शोषण करने के लिए उपयोग किया जाता है जो प्रतिबिंबित XSS के लिए कमजोर हैं। मैंने इसे जीमेल और एक साइट के साथ परीक्षण किया जिस पर मेरा नियंत्रण है।

शायद पृष्ठभूमि में एन्कोडिंग किया जा रहा था, लेकिन इस पर ध्यान दिए बिना, मैं लिंक में टाइप करने, ईमेल करने और फिर लिंक पर क्लिक करने और शोषण का काम करने में सक्षम था। इसके अतिरिक्त, मैंने कोशिश की हर ब्राउज़र में मैं सीधे एन्कोडिंग के बिना पेलोड में टाइप करने में सक्षम था और स्क्रिप्ट आग लग गई थी।

तो हाँ, वह कोड "मान्य एक्सएसएस" है और यदि आपकी साइट उस जावास्क्रिप्ट को ट्रिगर करती है तो आपकी साइट परिलक्षित XSS हमले के लिए कमजोर है।

स्रोत

2010-07-22 23:42:26

0

हां यह एक एक्सएसएस भेद्यता है। टिटल स्ट्रिंग को संचरित नहीं किया गया है और इसे प्रस्तुत करने से पहले प्रदर्शित किया गया है। ओएसएएसपी स्टिंगर

स्रोत

2013-05-28 06:33:04 vivek

0

एक अलर्ट डालने से एक्सएसएस को क्रॉस साइट स्क्रिप्टिंग या एक्सएसएस की ओर एप्लिकेशन भेद्यता का परीक्षण करने का सबसे प्रमुख और व्यापक रूप से उपयोग किया जाने वाला तरीका है।

  1. आंतरिक रूप से एक दुर्भावनापूर्ण साइट या

  2. करने के लिए ग्राहक अनुप्रेषित जानकारी कुकी या किसी के लिए सत्र से नकल भेज सकते हैं - जैसे URL और प्रदर्शन एक चेतावनी, बहुत संभावना है उसी यूआरएल कर सकते हैं अगर।

और ग्राहक को यह महसूस होगा कि यह आपकी विश्वसनीय साइट है जिसने इसे यूआरएल में विश्वसनीय साइट डोमेन को देखा होगा।

स्रोत

2014-01-18 07:16:07

संबंधित मुद्दे

 संबंधित मुद्दे