«XSS-атака для начинающих». Автор: Евгений Сафронов. «XSS-attack for beginners». Author: Evgeniy Safronov. Оглавление. Что такое XSS. Как использовать уязвимость?

«XSS-атака для начинающих»

Автор: Евгений Сафронов

Ключевые слова: xss-атака, уязвимость, как работает xss, способ атаки.

«XSS-attack for beginners»

Author: Evgeniy Safronov

Key words: XSS-attack, vulnerability, how XSS works, the way of attack.

Оглавление

Что такое XSS.. 3

Как использовать уязвимость?.. 3

1 Этап. 3

2 Этап. 3

3 Этап. 3

4 Этап. 4

5 Этап. 4

Кодирование и декодирование ссылок.. 4

Для чего это нужно?. 4

Кодировщик. 4

Декодировщик: 5

Как это работает: 5

Подведем итоги.. 6

Что такое XSS

XSS - тип атаки на web-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с web-сервером злоумышленника.

Особенность подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя (cookie). Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя.

Как использовать уязвимость?

1 Этап

Для начала нам будет нужно зарегистрировать домен (с любым уровнем) и выбрать хостингом с поддержкой PHP. В интернете полно бесплатных хостингов и с этим думаю трудностей у вас не возникнет.

2 Этап

Создадим на нашем хостинге файл с любым названием, например, «xss. js» со следующим содержимым:

Код:

Этот JavаScript будет открывать невидимый iframe на странице, в котором будет грузиться наш скрипт, принимающий cookie, также ему будет передаваться имя сайта откуда cookie украдены.

Тег < iframe> выбран для того, чтобы избежать ситуации, когда у кого-то будет отключен показ рисунков «тег < img> » не подойдет, да и PopUP окна могут блокироваться.