XSS
Last updated
Last updated
Cross Site Scripting β ΡΠΈΠΏ Π°ΡΠ°ΠΊΠΈ Π½Π° Π²Π΅Π±-ΡΠΈΡΡΠ΅ΠΌΡ, Π·Π°ΠΊΠ»ΡΡΠ°ΡΡΠΈΠΉΡΡ Π²ΠΎ Π²Π½Π΅Π΄ΡΠ΅Π½ΠΈΠΈ Π² Π²ΡΠ΄Π°Π²Π°Π΅ΠΌΡΡ Π²Π΅Π±-ΡΠΈΡΡΠ΅ΠΌΠΎΠΉ ΡΡΡΠ°Π½ΠΈΡΡ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π° (ΠΊΠΎΡΠΎΡΡΠΉ Π±ΡΠ΄Π΅Ρ Π²ΡΠΏΠΎΠ»Π½Π΅Π½ Π½Π° ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΠ΅ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ ΠΏΡΠΈ ΠΎΡΠΊΡΡΡΠΈΠΈ ΠΈΠΌ ΡΡΠΎΠΉ ΡΡΡΠ°Π½ΠΈΡΡ) ΠΈ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡΠ²ΠΈΠΈ ΡΡΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π° Ρ Π²Π΅Π±-ΡΠ΅ΡΠ²Π΅ΡΠΎΠΌ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ°.
Π Π°Π·Π΄Π΅Π»ΠΈΠΌ Π½Π°Ρ ΠΎΠΆΠ΄Π΅Π½ΠΈΠ΅ Π½Π° Π½Π΅ΡΠΊΠΎΠ»ΡΠΊΠΎ ΠΏΡΠ½ΠΊΡΠΎΠ²
ΠΠΎΠΈΡΠΊ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΎΠ² ΠΠ»Ρ Π½Π°Ρ ΠΎΠΆΠ΄Π΅Π½ΠΈΡ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΎΠ² ΠΌΠΎΠΆΠ½ΠΎ Π»ΠΈΠ±ΠΎ Π²ΠΎΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡΡΡ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΠΊΠΎΠΉ, Π²ΡΡΡΠΎΠ΅Π½Π½ΠΎΠΉ Π² BurpSuite, Π»ΠΈΠ±ΠΎ Π½Π°ΠΉΡΠΈ Π²ΡΠ΅ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ Π²ΡΡΡΠ½ΡΡ ΡΠ½ΠΈΡΡΠ΅ΡΠΎΠΌ. Π§ΡΠΎΠ±Ρ Π²ΠΊΠ»ΡΡΠΈΡΡ spider'Π°, Π½ΡΠΆΠ½ΠΎ ΠΏΡΠ°Π²ΠΎΠΉ ΠΊΠ½ΠΎΠΏΠΊΠΎΠΉ ΠΏΠΎ Π΄ΠΈΡΠ΅ΠΊΡΠΎΡΠΈΠΈ -> Spider this host
Π ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ Π²Ρ ΠΎΠ΄ΡΡ Π½Π΅ ΡΠΎΠ»ΡΠΊΠΎ POST/GET ΠΈ Π΄ΡΡΠ³ΠΈΠ΅ ΡΠΈΠΏΡ Π·Π°ΠΏΡΠΎΡΠΎΠ²! ΠΠΎΡ ΠΏΡΠΈΠΌΠ΅Ρ, Π³Π΄Π΅ xss ΠΏΠΎΡΠ²Π»ΡΠ΅ΡΡΡ ΠΈΠ·-Π·Π° Π²ΡΠ²ΠΎΠ΄Π° url (ΡΠ°ΡΠ΅ Π²ΡΠ΅Π³ΠΎ Π½Π° 404 ΡΡΡΠ°Π½ΠΈΡΠ°Ρ ) Π² bWAPP:
ΠΠΎΠ΄ΡΡΠ°Π½ΠΎΠ²ΠΊΠ° ΠΠ»Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΎΠ² ΠΏΠ΅ΡΠ²ΠΎΠ½Π°ΡΠ°Π»ΡΠ½ΠΎ Π½ΡΠΆΠ½ΠΎ ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΠΈΡΡΡΡ, ΡΡΠΎ ΠΊΠΎΠ΄ Π²ΡΠ²ΠΎΠ΄ΠΈΡΡΡ Π½Π° ΡΡΡΠ°Π½ΠΈΡΠ΅. Π§ΡΠΎ Π΄Π΅Π»Π°Π΅ΠΌ: Π² ΠΊΠ°ΠΆΠ΄ΡΠΉ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡ Π²ΡΡΠ°Π²Π»ΡΠ΅ΠΌ ΡΠ½ΠΈΠΊΠ°Π»ΡΠ½ΡΡ ΡΡΡΠΎΠΊΡ, ΠΊΠΎΡΠΎΡΠΎΠΉ Π½Π΅Ρ Π½Π° ΡΡΡΠ°Π½ΠΈΡΠ΅ ΠΈ Π΄Π΅Π»Π°Π΅ΠΌ ΠΏΠΎΠΈΡΠΊ ΠΏΠΎ ΠΈΡΡ ΠΎΠ΄Π½ΠΎΠΌΡ ΠΊΠΎΠ΄Ρ. ΠΡΠΈΠΌΠ΅Ρ:
ΠΠΈΠ΄ΠΈΠΌ, ΡΡΠΎ Π΅ΡΡΡ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡ title (Π½ΠΎ Π½Π΅ Π·Π°Π±ΡΠ²Π°ΠΉΡΠ΅ ΡΠΌΠΎΡΡΠ΅ΡΡ ΠΈ ΠΏΠΎΡΡ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ)
Π’ΠΎΠ³Π΄Π° ΠΏΠΎΠ΄ΡΡΠ°Π²ΠΈΠΌ Π² Π½Π΅Π³ΠΎ ΡΡΡΠΎΠΊΡ 'testtesttest'
.
ΠΠΈΠ΄ΠΈΠΌ, ΡΡΠΎ Π½Π°Ρ ΡΠ΅ΠΊΡΡ Π²ΡΠ²Π΅Π»ΡΡ - Π·Π°ΠΏΠΈΡΡΠ²Π°Π΅ΠΌ Π΅Π³ΠΎ ΠΊΡΠ΄Π°-Π½ΠΈΠ±ΡΠ΄Ρ ΠΈ ΠΏΠΎΠ²ΡΠΎΡΡΠ΅ΠΌ ΡΡΠΎ Π΄Π΅ΠΉΡΡΠ²ΠΈΠ΅ Ρ Π΄ΡΡΠ³ΠΈΠΌΠΈ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠ°ΠΌΠΈ. Π ΠΈΡΠΎΠ³Π΅ ΠΊ ΡΡΠΎΠΌΡ ΠΌΠΎΠΌΠ΅Π½ΡΡ Ρ Π½Π°Ρ Π½Π° ΡΡΠΊΠ°Ρ ΡΠΏΠΈΡΠΎΠΊ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΎΠ², ΠΊΠΎΡΠΎΡΡΠ΅ Π½ΡΠΆΠ½ΠΎ ΠΏΡΠΎΠ΄ΠΎΠ»ΠΆΠ°ΡΡ ΠΏΡΠΎΠ²Π΅ΡΡΡΡ Π΄Π°Π»ΡΡΠ΅.
ΠΠ·ΡΡΠ΅Π½ΠΈΠ΅ ΡΠΈΠ»ΡΡΡΠΎΠ² Π’Π΅ΠΏΠ΅ΡΡ Π½Π°ΡΠΈΠ½Π°Π΅ΡΡΡ ΡΠ°ΠΌΠΎΠ΅ ΠΈΠ½ΡΠ΅ΡΠ΅ΡΠ½ΠΎΠ΅! ΠΠΎΠ΄ΡΡΠ°Π²Π»ΡΠ΅ΠΌ ΡΠ»Π΅Π΄ΡΡΡΡΡ ΡΡΡΠΎΠΊΡ Π² ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡ:
Π Π΄Π°Π»Π΅Π΅ ΠΈΠ΄Π΅Ρ ΡΠ°Π·Π΄Π΅Π»Π΅Π½ΠΈΠ΅ Π½Π° ΡΠ΅Π·ΡΠ»ΡΡΠ°Ρ:
ΠΡΠ»ΠΈ Ρ Π²Π°Ρ ΡΠ΅ΠΊΡΡ ΡΠ°ΠΊ ΠΈ ΠΎΡΡΠ°Π»ΡΡ Π½Π΅ΠΈΠ·ΠΌΠ΅Π½Π½ΡΠΌ, ΡΠΎ ΠΌΠΎΠΈ ΠΏΠΎΠ·Π΄ΡΠ°Π²Π»Π΅Π½ΠΈΡ - ΠΠ« Π½Π°ΡΠ»ΠΈ XSS!
Π£Π±ΡΠ°Π»ΡΡ <script>
ΠΡΠ»ΠΈ Ρ Π²Π°Ρ Π²Π΄ΡΡΠ³ ΠΈΡΡΠ΅Π· Π’ΠΠΠ¬ΠΠ <script>
, ΡΠΎ Π²Π΅ΡΠΎΡΡΠ½Π΅Π΅ Π²ΡΠ΅Π³ΠΎ ΠΈΠ΄Π΅Ρ ΠΏΠΎΠΈΡΠΊ ΠΏΠΎ ΠΎΠΏΠ°ΡΠ½ΡΠΌ ΡΠ΅Π³Π°ΠΌ - Π½ΠΎ ΠΈ ΡΡΠΎ Π² ΡΠΎΠ²ΡΠ΅ΠΌΠ΅Π½Π½ΠΎΠΌ ΠΌΠΈΡΠ΅ ΠΎΠ±Ρ
ΠΎΠ΄ΠΈΡΡΡ.
Π’Π΅ΠΏΠ΅ΡΡ ΠΏΠΎΡΠΌΠΎΡΡΠΈΠΌ Π²Π½ΠΈΠΌΠ°ΡΠ΅Π»ΡΠ½Π΅Π΅ - Π΅ΡΠ»ΠΈ Ρ Π²Π°Ρ ΠΈΠ· ΡΡΡΠΎΠΊΠΈ ...a'<script>'b...
ΠΏΠΎΠ»ΡΡΠΈΠ»Π°ΡΡ ΡΡΡΠΎΠΊΠ° ...ab...
ΡΠΎ Π΄Π΅Π»Π°Π΅ΠΌ ΡΠ»Π΅Π΄ΡΡΡΠ΅Π΅:
Π ΠΈΡΠΎΠ³Π΅ Ρ Π½Π°Ρ Π΄ΠΎΠ»ΠΆΠ½Π° ΠΏΠΎΠ»ΡΡΠΈΡΡΡΡ ΡΡΡΠΎΠΊΠ° Π²ΠΈΠ΄Π°:
ΠΡ ΠΈ ΠΎΠΏΡΡΡ ΠΆΠ΅ SUCCESS!
Π£Π±ΡΠ°Π»ΠΈΡΡ Π <script>
Π <h1>
Π ΡΡΠΎΠΌ ΡΠ»ΡΡΠ°Π΅ ΡΠ°ΡΠ΅ Π²ΡΠ΅Π³ΠΎ ΠΈΠ΄Π΅Ρ ΠΏΡΠΎΠ³ΠΎΠ½ ΠΏΠΎ Π²ΡΠ΅ΠΌ ΠΈΠ·Π²Π΅ΡΡΠ½ΡΠΌ ΠΌΠΈΡΡ ΡΠ΅Π³Π°ΠΌ - ΠΈ ΡΡΡ ΠΎΠ±ΠΎΠΉΡΠΈ ΠΌΠΎΠΆΠ½ΠΎ ΡΠΎΠ»ΡΠΊΠΎ ΠΏΡΠΈ Π½Π΅ΠΊΠΎΡΠΎΡΡΡ
ΠΎΠ±ΡΡΠΎΡΡΠ΅Π»ΡΡΡΠ²Π°Ρ
(ΠΎΠ΄Π½ΠΎ ΠΈΠ· Π½ΠΈΡ
Π²Ρ ΠΌΠΎΠΆΠ΅ΡΠ΅ ΠΏΠΎΡΠΌΠΎΡΡΠ΅ΡΡ Π² ΠΏΡΠ½ΠΊΠ΅ 'ΡΠ±ΡΠ°Π»ΠΈΡΡ Π·Π½Π°ΠΊΠΈ <>')
ΠΡΡΠ΅Π·Π»ΠΈ Π·Π½Π°ΠΊΠΈ '<'
ΠΈ '>'
Π’ΡΡ ΡΠΆΠ΅ ΠΈΠ½ΡΠ΅ΡΠ΅ΡΠ½Π΅Π΅ ΡΠΊ Π·Π°Π²ΠΈΡΠΈΡ ΠΎΡ ΠΎΠΊΡΡΠΆΠ΅Π½ΠΈΡ.
Π <a href='test'>
ΠΈ Π΄ΡΡΠ³ΠΈΡ
ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠ°Ρ
Π² ' ΠΈΠ»ΠΈ " ΠΊΠ°Π²ΡΡΠΊΠ°Ρ
Π’ΡΡ ΠΊ Π½Π°ΠΌ Π½Π° ΠΏΠΎΠΌΠΎΡΡ ΠΏΡΠΈΠ΄ΡΡ ΡΠ°ΠΊΠΈΠ΅ ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ, ΠΊΠ°ΠΊ onload
ΠΈΠ»ΠΈ onmouseover
. Π§ΡΠΎ Π±ΡΠ΄Π΅Ρ, Π΅ΡΠ»ΠΈ ΠΎΡΠΎΡΠ»Π°ΡΡ test' onload='alert()' a='
?
Π Π²ΠΎΡ ΡΡΠΎ:
Π ΠΈΡΠΎΠ³Π΅ Ρ Π½Π°Ρ Π·Π°ΠΏΡΡΡΠΈΡΡΡ ΠΎΠΊΠΎΡΠΊΠΎ Π°Π»Π΅ΡΡΠ°!
Π ΡΠ΅Π³Π°Ρ
<script>...</script>
Π’ΠΊ ΡΠ°ΡΡΡΠΈΡΡΠ²Π°Π΅ΠΌ, ΡΡΠΎ Ρ Π½Π°Ρ ΡΠΈΠ»ΡΡΡΡΡΡΡ ΡΠΎΠ»ΡΠΊΠΎ Π·Π½Π°ΠΊΠΈ '<'
ΠΈ '>'
, ΡΠΎ ΠΏΠΎΡΡΠΈ Π»ΡΠ±ΠΎΠΉ ΠΊΠΎΠ΄ Π² ΡΠ²Π΅ ΠΌΠΎΠΆΠ½ΠΎ ΠΠ°ΠΏΠΈΡΠ°ΡΡ Π±Π΅Π· Π½ΠΈΡ
- Π° ΡΠ΅ΠΌ Π±ΠΎΠ»Π΅Π΅ ΠΠΎΠΏΠΈΡΠ°ΡΡ.
ΠΠΎΠ·ΡΠΌΠ΅ΠΌ Π² ΠΏΡΠΈΠΌΠ΅Ρ ΡΠ»Π΅Π΄ΡΡΡΠΈΠΉ ΠΊΠΎΠ΄:
Π ΡΠ΅ΠΏΠ΅ΡΡ ΡΠΌΠΎΡΡΠΈΠΌ, ΡΡΠΎ Π±ΡΠ΄Π΅Ρ ΠΏΡΠΈ ΠΏΠΎΠ΄ΡΡΠ°Π½ΠΎΠ²ΠΊΠ΅ test1'; alert(); var b = 'test2
:
Π ΠΈΡΠΎΠ³Π΅ Π½Π°Ρ ΠΊΠΎΠ΄ Π·Π°ΡΠ°Π±ΠΎΡΠ°Π΅Ρ, ΠΈ ΠΏΡΠΈ Π΄ΠΎΡΡΠΈΠΆΠ΅Π½ΠΈΠΈ Π²ΡΠΎΡΠΎΠΉ ΡΡΡΠΎΠΊΠΈ ΡΠΊΡΠΈΠΏΡΠ° ΠΏΠΎΡΠ²ΠΈΡΡΡ ΠΎΠΊΠΎΡΠΊΠΎ Π°Π»Π΅ΡΡΠ°! P.S.ΠΠΠΠΠ!!! ΠΡΠ»ΠΈ Π²Ρ ΠΎΡΠΈΠ±Π΅ΡΠ΅ΡΡ Π² ΡΠΈΠ½ΡΠ°ΠΊΡΠΈΡΠ΅ js, ΡΠΎ Π²Π°Ρ ΠΊΠΎΠ΄ ΡΠΊΠΎΡΠ΅Π΅ Π²ΡΠ΅Π³ΠΎ Π½Π΅ Π·Π°ΡΠ°Π±ΠΎΡΠ°Π΅Ρ. ΠΠΎΡΡΠΎΠΌΡ ΡΠΎΠ²Π΅ΡΡΡ ΠΏΡΠΎΠ²Π΅ΡΡΡΡ Π²ΡΠ΅ Π² ΠΊΠΎΠ½ΡΠΎΠ»ΠΈ.
ΠΠΎΠ»ΡΡΠΈΠ½ΡΡΠ²ΠΎ ΡΠΈΠΌΠ²ΠΎΠ»ΠΎΠ² ΠΏΡΠ΅ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°Π»ΠΈΡΡ Π² &g t ; &l t ;
ΠΈ Π΄Ρ Π ΡΡΠΎΠΌ ΡΠ»ΡΡΠ°Π΅ Π²ΡΡ ΠΏΠ΅ΡΠ΅ΠΌΠ΅Π½Π½Π°Ρ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Π΅ΡΡΡ PHP (Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡΠ΅ ΡΡΠ½ΠΊΡΠΈΠΈ ΠΈΠ· Π΄ΡΡΠ³ΠΈΡ
ΡΠΏ) ΡΡΠ½ΠΊΡΠΈΠ΅ΠΉ ΠΏΠΎΠ΄ Π½Π°Π·Π²Π°Π½ΠΈΠ΅ΠΌ htmlspecialchars.
ΠΡΠΎ Π½Π΅Π΅ ΠΏΠΎΠ΄ΡΠΎΠ±Π½ΠΎ Π½Π°ΠΏΠΈΡΠ°Π½ΠΎ ΡΡΡ: http://php.net/manual/ru/function.htmlspecialchars.php
Π Π²ΠΎΡ ΠΈ ΠΏΡΠΈΠΌΠ΅Ρ Π΅Π΅ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ (Π²Π·ΡΡΠΎ Ρ google.com):
Π ΡΡΠΎΠΌ ΡΠ»ΡΡΠ°Π΅ Π·Π°ΡΠΈΡΡ, ΡΠ²Ρ, ΠΏΠΎΠΊΠ° Π½ΠΈΠΊΠ°ΠΊ Π½Π΅ ΠΎΠ±ΠΎΠΉΡΠΈ... ΠΏΠΎΠΊΠ°...
ΠΡ Π½Π°ΡΠ»ΠΈ ΠΌΡ XSS - ΠΈ ΡΡΠΎ ΡΡΠΎ Π½Π°ΠΌ Π΄Π°Π»ΠΎ? Π ΡΡΠΎΠΌ ΠΏΡΠ½ΠΊΡΠ΅ Ρ ΠΏΡΠΈΠ²Π΅Π΄Ρ Π½Π΅ΠΊΠΎΡΠΎΡΡΠ΅ ΠΏΡΠΈΠΌΠ΅ΡΡ (ΡΠΊΠΎΡΠ΅Π΅ Π²ΡΠ΅Π³ΠΎ ΠΈΡ Π±ΠΎΠ»ΡΡΠ΅) ΡΠΊΡΠΏΠ»ΡΠ°ΡΠ°ΡΠΈΠΈ XSS.
ΠΡΠ°ΠΆΠ° cookies ΠΡ ΡΠ°ΠΌΠΎΠ΅ ΠΈΠ·Π²Π΅ΡΡΠ½ΠΎΠ΅ - ΡΡΠΎ ΠΊΠΎΠ½Π΅ΡΠ½ΠΎ ΠΊΡΠ°ΠΆΠ° ΡΡΠΆΠΈΡ ΠΊΡΠΊΠΈ, Ρ ΠΏΠΎΡΠ»Π΅Π΄ΡΡΡΠ΅ΠΉ Π·Π°ΠΌΠ΅Π½ΠΎΠΉ ΡΠ²ΠΎΠΈ ΠΊΡΠΊΠΈ Π½Π° ΠΊΡΠΊΠΈ ΠΆΠ΅ΡΡΠ²Ρ ΠΈ Π·Π°Ρ ΠΎΠ΄Π° Π² Π°ΠΊΠΊΠ°ΡΠ½Ρ. Π§ΡΠΎ ΡΡΠ΅Π±ΡΠ΅ΡΡΡ Π΄Π»Ρ ΡΡΠΎΠ³ΠΎ
Π‘Π½ΠΈΡΡΠ΅Ρ
ΠΠΎΠ½ΡΠ°ΠΊΡ Ρ ΠΆΠ΅ΡΡΠ²ΠΎΠΉ
XSS
ΠΠ°ΡΠ½Ρ Ρ ΠΎΠΏΠΈΡΠ°Π½ΠΈΡ ΡΠ½ΠΈΡΡΠ΅ΡΠ°
Π‘Π½ΠΈΡΡΠ΅Ρ
ΠΠ±ΡΡΡΠ½Ρ Π΄ΠΎΡΡΡΠΏΠ½ΡΠΌ ΡΠ·ΡΠΊΠΎΠΌ. CΠ½ΠΈΡΡΠ΅Ρ (Π² Π΄Π°Π½Π½ΠΎΠΌ ΡΠ»ΡΡΠ°Π΅) - ΡΠΊΡΠΈΠΏΡ, Π·Π°ΠΏΠΈΡΡΠ²Π°ΡΠΈΠΉ Π²ΡΠ΅ ΠΎΠ±ΡΠ°ΡΠ΅Π½ΠΈΡ ΠΊ Π½Π΅ΠΌΡ (Π² ΡΠΎΠΌ ΡΠΈΡΠ»Π΅ ΠΈ ΠΏΠΎΠ»ΡΠΉ url).
ΠΠ°ΠΏΡΠΈΠΌΠ΅Ρ Ρ Π½Π°Ρ Π΅ΡΡΡ Π½Π° ΠΊΠ°ΠΊΠΎΠΌ ΡΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ΅ ΡΠ°ΠΉΠ» site.ru/sniffer.php
, (ΠΏΡΠΈΠΌΠ΅Ρ ΠΊΠΎΠ΄Π° ΠΏΠΎΠ·ΠΆΠ΅) ΠΊΠΎΡΠΎΡΡΠΉ Π·Π°ΠΏΠΈΡΡΠ²Π°Π΅Ρ Π²ΡΠ΅ ΠΎΠ±ΡΠ°ΡΠ΅Π½ΠΈΡ ΠΊ Π½Π΅ΠΌΡ.
ΠΠΎΡ Ρ Π·Π°ΡΠ΅Π» Π½Π° site.ru/sniffer.php?testtesttest
- ΠΈ Ρ Π½Π΅Π³ΠΎ Π² Π»ΠΎΠ³Π°Ρ
Π·Π°ΠΏΠΈΡΠ°Π»ΠΎΡΡ
, Π³Π΄Π΅ testtesttest - ΡΠ°ΡΠ΅ Π²ΡΠ΅Π³ΠΎ ΠΊΡΠΊΠΈ ΠΏΡΠΈΠΏΠΈΡΠ°Π½Π½ΡΠ΅. Π ΡΠ΅ΠΏΠ΅ΡΡ ΠΎΠ±ΡΡΡΠ½ΡΡ ΠΏΠΎΡΠ΅ΠΌΡ Π½Π° ΡΡΠΎΡ ΡΠΏΠΈΡΠΎΠΊ ΡΡΠΎΠΈΡ ΠΎΠ±ΡΠ°ΡΠΈΡΡ Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅ - ΠΌΠ½ΠΎΠ³ΠΈΠ΅ Π·Π°Π΄Π°Π½ΠΈΡ Ρ ΡΡΠΈΠΌ ΡΠ²ΡΠ·Π°Π½Ρ Π½Π° ΡΠ°ΡΠΊΠΎΠ²ΡΡ ctf. Π Π°ΡΠΏΡΠΎΡΡΡΠ°Π½Π΅Π½Π½ΡΠ΅ Π·Π°Π΄Π°Π½ΠΈΡ:
ΠΠ°ΠΊ ΠΎΠ½ΠΈ ΠΏΡΠΎΡ ΠΎΠ΄ΡΡΡΡ:
ΠΡΠ΅ ΡΡΠΎ Π²ΡΠ΅ΠΌΡ ΠΌΡ ΡΠ°Π·Π±ΠΈΡΠ°Π»ΠΈ Ρ ΡΠ°Π½ΠΈΠΌΡΠ΅ XSS (ΠΊΠΎΠ³Π΄Π° xss ΡΠΎΡ ΡΠ°Π½ΡΠ΅ΡΡΡ Π½Π° ΡΠ΅ΡΠ²Π΅ΡΠ΅). ΠΠΎΡ Π²Π°ΠΌ ΠΏΡΠΈΠΌΠ΅Ρ Π·Π°Π΄Π°Π½ΠΈΡ Π½Π° ΠΠ Ρ ΡΠ°Π½ΠΈΠΌΡΡ (ΠΊΠΎΠ³Π΄Π° xss ΠΏΡΠΈΠ²ΡΠ·ΡΠ²Π°Π΅ΡΡΡ ΠΊ url):
Π Π΅ΡΠ΅Π½ΠΈΠ΅ ΡΠ°ΠΊΠΎΠ΅ - ΠΆΠ΅.
CSRF+XSS ΠΠΏΡΡΡ ΠΆΠ΅ Π²ΠΊΡΠ°ΡΡΠ΅ - Π²ΡΠΏΠΎΠ»Π½ΡΠ΅Ρ Π·Π° ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ, ΠΊΠΎΡΠΎΡΡΠ΅ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ Π²ΡΡΡ Π»ΠΈ Π±Ρ Π²ΡΠΏΠΎΠ»Π½ΠΈΠ» Π² Π·Π΄ΡΠ°Π²ΠΎΠΌ ΡΠΌΠ΅ (Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ ΡΠ΄Π΅Π»Π°ΡΡ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡΡΠ°ΡΠΎΡΠΎΠΌ ΠΊΠΎΠ³ΠΎ-ΡΠΎ). Π’ΡΡ ΠΊΡΠΎΠΌΠ΅ XSS, Π΅ΡΠ΅ ΠΈ ΡΡΠ΅Π±ΡΠ΅ΡΡΡ CSRF ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡ - ΠΏΡΠΎ Π½Π΅Π΅ ΠΏΠΎΡΠΈΡΠ°ΡΡ ΠΌΠΎΠΆΠ΅ΡΠ΅ Ρ Π½Π°Ρ Π² Π΄ΡΡΠ³ΠΎΠΌ ΡΠ°Π·Π΄Π΅Π»Π΅.
ΠΠΏΡΡΡ ΠΏΡΠΈΠΌΠ΅Ρ:
Π Π΅ΡΠ΅Π½ΠΈΠ΅:
ΠΡΠ½Π΅Ρ Π² ΠΎΡΠ΄Π΅Π»ΡΠ½ΡΡ ΡΠ°ΡΡΡ ΡΠΊ xss ΠΏΠΎ Π±ΠΎΠ»ΡΡΠ΅ΠΉ ΡΠ°ΡΡΠΈ ΠΎΡ ΠΎΠ±Ρ ΠΎΠ΄Π° ΡΠΈΠ»ΡΡΡΠ°ΡΠΈΠΈ ΠΈ Π·Π°Π²ΠΈΡΠΈΡ(ΠΎΠ½Π° ΠΈ ΡΠ²Π»ΡΠ΅ΡΡΡ ΠΎΠ±Ρ ΠΎΠ΄ΠΎΠΌ ΡΠΈΠ»ΡΡΡΠΎΠ²:) (ΠΏΡΠΈΠΌΠ΅ΡΡ ΡΠΎΠ±ΡΠ°Π» Ρ Π½Π΅ΡΠΊΠΎΠ»ΡΠΊΠΈΡ ΡΠ°ΠΉΡΠΎΠ² - Π² ΡΠ°Π·Π΄Π΅Π»Π΅ ΡΡΠ°ΡΠ΅ΠΉ ΠΈΡ Π½Π°ΠΏΠΈΡΡ)
ΠΠ±Ρ ΠΎΠ΄ ΠΏΡΡΠ΅ΠΌ Π΄Π²ΠΎΠΉΠ½ΠΎΠ³ΠΎ urlencode (bWAPP):
"Π ΠΊΠ°ΡΠ΅ΡΡΠ²Π΅ ΠΎΠ±ΡΡΡΠΊΠ°ΡΠΈΠΈ Π²Π΅ΠΊΡΠΎΡΠ°, ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡ ActionScript ΡΠ΅ΡΠ΅Π· Flash, ΠΏΡΡΡΠΌ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ ΠΏΠ΅ΡΠ΅ΠΌΠ΅Π½Π½ΡΡ ΠΈ ΠΏΡΠΈΡΠ²Π°ΠΈΠ²Π°Π½ΠΈΡ ΠΈΠΌ Π·Π½Π°ΡΠ΅Π½ΠΈΠΉ, ΠΊΠΎΡΠΎΡΡΠ΅ ΡΠ²Π»ΡΡΡΡΡ ΡΠ°ΡΡΡΠΌΠΈ xss-ΠΊΠΎΠ΄Π°."
"ΠΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ UTF-7.ΠΠ°ΠΊΠ»ΡΡΠ°Π΅ΡΡΡ Π΄Π°Π½Π½ΡΠΉ ΡΠΏΠΎΡΠΎΠ± Π² ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΈ ΠΊΠΎΠ΄ΠΈΡΠΎΠ²ΠΊΠΈ ΡΠΈΠΌΠ²ΠΎΠ»ΠΎΠ² xss-Π²Π΅ΠΊΡΠΎΡΠ° Π½Π° UTF-7. ΠΡΠΎ ΠΌΠΎΠΆΠ΅Ρ ΡΡΠ°Π±ΠΎΡΠ°ΡΡ Π² ΡΠ΅Ρ ΡΠ»ΡΡΠ°ΡΡ , ΠΊΠΎΠ³Π΄Π° Π² ΡΡΡΠ°Π½ΠΈΡΠ΅ Π½Π΅ ΡΠΊΠ°Π·ΡΠ²Π°Π΅ΡΡΡ ΠΊΠΎΠ΄ΠΈΡΠΎΠ²ΠΊΠ°, ΠΈ Π°ΡΠ°ΠΊΡΡΡΠΈΠΉ ΠΌΠΎΠΆΠ΅Ρ Π·Π°ΡΡΠ°Π²ΠΈΡΡ ΡΡΡΠ°Π½ΠΈΡΡ ΠΈΡΠΏΠΎΠ»ΡΠ²ΠΎΡΡ UTF-7, ΡΠ΅ΠΌ ΡΠ°ΠΌΡΠΌ, ΠΎΠ±ΠΎΠΉΡΠΈ ΡΠΈΠ»ΡΡΡΠ°ΡΠΈΡ, ΠΈΠ·ΠΌΠ΅Π½ΠΈΠ² Π½Π΅ΠΊΠΎΡΠΎΡΡΠ΅ ΠΈΠ· ΡΠΈΠΌΠ²ΠΎΠ»ΠΎΠ² UTF-8 Π½Π° UTF-7."
Π ΡΡΠ°ΡΡΠ΅ http://dsec.ru/ipm-research-center/article/bypassing_the_filtering_of_the_uploaded_images_in_a_number_of_web_applications_for_the_implementatio/ ΡΠ°ΡΡΠΊΠ°Π·ΡΠ²Π°Π΅ΡΡΡ ΠΎΠ±Ρ ΠΎΠ΄ ΡΠΈΠ»ΡΡΡΠ°ΡΠΈΠΈ Ρ ΠΏΠΎΠΌΠΎΡΡΡ ΠΊΠ°ΡΡΠΈΠ½ΠΊΠΈ.
http://raz0r.name/news/xss-filters-bypass-on-blackhat/ Π Π²ΠΎΡ ΡΠΆΠ΅ Ρ Π±Π»Π΅ΠΊΡ Π°ΡΠ°:
Π Π½Π° ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠΊ - http://www.smeegesec.com/2012/06/collection-of-cross-site-scripting-xss.html Π’ΡΡ Π²Ρ ΠΌΠΎΠΆΠ΅ΡΠ΅ Π½Π°ΠΉΡΠΈ ΡΠΏΠΈΡΠΎΠΊ xss ΠΏΠ΅ΠΉΠ»ΠΎΠ°Π΄ΠΎΠ² Π΄Π»Ρ ΡΠ΅ΡΡΠΈΡΠΎΠ²Π°Π½ΠΈΡ.
SHarifCTF 2016 - WEB photoblog
ΠΠΏΠΈΡΠ°Π½ΠΈΠ΅ url - http://ctf.sharif.edu:33455/chal/PhotoBlog/d57ad4d0f9afd1f1/ A friend of mine have stolen my cat's picture on his blog. I want to login as admin user on his blog. Do you have any idea?
Π Π΅ΡΠ΅Π½ΠΈΠ΅
Π‘ΡΠ°ΡΡΠΈ https://github.com/codedokode/pasta/blob/master/security/xss.md https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3 https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29 http://forum.antichat.ru/threads/20140/ http://forum.antichat.ru/threads/224582/ http://dsec.ru/ipm-research-center/article/bypassing_the_filtering_of_the_uploaded_images_in_a_number_of_web_applications_for_the_implementatio/
Π Π°ΠΉΡΠ°ΠΏΡ NorthSec 2015 - XSS Challenge Writeups http://holyvier.blogspot.ru/2015/05/northsec-xss-challenge-writeups.html
CSAW CTF 2014 - WEB 300 http://wiremask.eu/csaw-ctf-2014-web-300-hashes-writeup/
Π’ΡΠ΅Π½ΠΈΡΠΎΠ²ΠΊΠΈ https://xss-game.appspot.com/ http://www.root-me.org/en/Challenges/Web-Client/Javascript-Stored-XSS-1 http://www.root-me.org/en/Challenges/Web-Client/Javascript-Stored-XSS-2