Межсайтовый скриптинг - отражение (EVAL и HREF)

Межсайтовый скриптинг - отражение (EVAL и HREF)

Это демонстрация атаки межсайтового скриптинга в функции eval и справочнике по гипертексту, и для этой демонстрации я буду использовать bWAPP, а bWAPP - это веб-приложение с ошибками, которое мы можем использовать для тестирования различных уязвимостей в Интернете.

Официальная ссылка bWAPP: - http://www.itsecgames.com/

Как выполнить атаку межсайтового скриптинга в функции eval?

Теперь выберите Межсайтовый сценарий - Отражено (оценка) в раскрывающемся меню и нажмите Взломать.

Что такое eval?

eval () - это глобальная функция в JavaScript, которая оценивает выражение, переменную, оператор или последовательность операторов JavaScript как код JavaScript, а после этого выполняет этот фрагмент кода.

Как вы можете видеть, функция date используется для отображения текущей даты моего компьютера, и эта функция Date () является примером eval () и, поскольку это функция eval, мы также можем написать функцию alert ().

alert(1)

Как видите, выполняется функция alert ().

Как предотвратить эту атаку?

Лучший способ предотвратить эту атаку - вообще не использовать eval () при разработке веб-сайта, и, согласно документации разработчика Mozilla, это очень опасно и он может быть использован третьей стороной в злонамеренных целях. А также это медленно, потому что для выполнения кода необходимо вызывать интерпретатор JS.

Для получения дополнительной информации ознакомьтесь с документацией разработчика Mozilla: - https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval

Как выполнить атаку межсайтового скриптинга в гипертекстовой ссылке?

Теперь выберите Межсайтовый скриптинг - Отражено (HREF) в раскрывающемся меню и нажмите Взломать.

В этой демонстрации, что он делает, он берет ввод с первого экрана и отображает его на втором экране.

Итак, на моем первом экране я ввожу свое имя «Аншуман» в поле ввода, и оно отобразится на следующем экране.

Как вы можете видеть на втором экране, мое имя отображается на веб-странице, и, поскольку оно отображается, мы можем внедрить код JavaScript.

Чтобы сначала внедрить код JavaScript, нам нужно проверить структуру DOM этого конкретного элемента HTML.

Итак, щелкните правой кнопкой мыши веб-страницу и выберите «Просмотр источника страницы», чтобы проверить исходный код этой конкретной веб-страницы.

Как вы можете видеть, мое имя отражает, и для того, чтобы сначала ввести код, нам нужно закрыть эту скобку больше и меньше угловой, после чего мы можем ввести ‹script› ярлык.

Таким образом, окончательная полезная нагрузка будет такой, как показано ниже.

><script>alert(1)</script><

Итак, как видите, мы можем вставлять код JavaScript внутри гипертекстовой ссылки. И чтобы предотвратить это, требуется надлежащая дезинфекция специальных символов, после чего мы можем предотвратить эту атаку.

Для получения дополнительной информации

1. Https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
2. Https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

Я надеюсь, вам, ребята, понравится этот пост до свидания, пока

Удачного взлома :)