Публикации по теме 'xss-attack'
Запись Google CTF 2018: Router-UI
В последние дни я начал решать некоторые задачи Google CTF 2018 для начинающих вместе с напарником. Решив примерно половину из них, мы подошли к задаче «Router-UI».
Итак, речь шла о поиске XSS-уязвимости на предоставленной веб-странице. XSS означает межсайтовый скриптинг и указывает на уязвимость, при которой злоумышленник внедряет клиентские скрипты на веб-страницу с целью получения токена сеанса пользователя или выполнения других вредоносных действий, таких как манипулирование..
Как внедрить XSS-эксплойт за 4 шага или как обнаружить эту попытку
Атаки типа межсайтовый скриптинг (XSS) очень серьезны. При полном использовании он дает один полный контроль над учетной записью пользователя на веб-сайтах. Представьте, что кто-то получает доступ к вашему банковскому счету и переводит все деньги. С точки зрения банка, это была бы вполне законная операция со стороны владельца счета.
Рассмотрим ряд шагов, каждый из которых кажется разумным, но в итоге приводит к XSS-атаке. История начинается с большого одностраничного приложения, и мы..
Сохраненный DOM XSS
Обнаружение и устранение критического недостатка безопасности
При тестировании веб-приложения я обнаружил уязвимость Stored DOM XSS. Онлайн-приложение имеет область, в которой пользователи могут вводить данные, которые будут сохранены в базе данных и представлены на последующих страницах, где находится уязвимость.
Злоумышленник может использовать эту уязвимость для запуска произвольного кода в браузере жертвы и, возможно, кражи конфиденциальной информации или полной компрометации..
JavaScript-инъекции.
Информационная безопасность.
Есть два очень популярных способа взломать страницу, использующую Java Script. Мы делаем это, вставляя наш собственный код Java Script на страницу, которую мы пытаемся взломать. Первый способ — ввести код JavaScript в адресную строку. Второй — найти уязвимости XSS (Cross Site Scripting) на веб-сайте. Таким образом, JavaScript можно использовать как в полезных, так и во вредоносных целях.
JavaScript может изменять информацию в форме. Мы можем изменить..
Изучение XSS: Часть 1 - Отраженный XSS (краткая концепция, методы, пошаговое руководство)
Это будет длинная серия сообщений о межсайтовом скриптинге. У меня был некоторый опыт с этим в прошлом, но я бы солгал, если бы сказал, что выполнил более 5 задач XSS в своей жизни, однако на данный момент я намного превзошел это и делаю то, что я узнал, на бумаге. (или компьютер). Я собираюсь пройтись по ключевым концепциям, которые я изучил, некоторым интересным техникам, которые я усвоил, и напишу пошаговое описание 6-уровневого задания XSS, которое я выполнил.
Что такое..
Сбой выполнения скрипта с DangerouslySetInnerHTML в React
Рано или поздно кто-то из нас всегда будет задаваться вопросом, почему скрипт, который вы добавили с помощью dangerouslySetInnerHTML , не запускается. Не нужно больше этому удивляться. Вот чем я хочу с вами поделиться сегодня.
dangerouslySetInnerHTML находится в конце свойства HTML-элемента innerHTML , которое используется для получения или установки разметки HTML / XML, содержащейся в элементе.
Использование innerHTML - не лучшая практика, поскольку это делает ваше приложение..
XSS-инъекция на основе файлов cookie, позволяющая эксплуатировать без использования других уязвимостей.
XSS-инъекция на основе файлов cookie, позволяющая эксплуатировать без использования других уязвимостей.
Всем привет,
Это короткое сообщение в блоге о создании XSS на основе файлов cookie.
Я тестировал сайт [redcted.com], который не может получить имя по очевидным причинам. Я тестировал его на вкладке Repeater на отрыжке и тестировал параметр, который отражался на странице HTML, но закодирован.
URL: - http: // [redcted.com] /path/file.php?f=a*&location = 12
* было той точкой..
