XSS Challenges

Wszystkim chcącym poszerzyć/sprawdzić swoją wiedzę dotczącą Cross Site Scripting zachęcam do zabawy z http://xss-quiz.int21h.jp/
Zadania nie są trudne, a podobne sytuacje zdarzają się na prawdziwych stronach. Powodzenia!

~ - autor: niteria w dniu marzec 30, 2008.

Napisane w hacking

Odpowiedzi: 5 to “XSS Challenges”

  1. nie kapie

    ... powiedział czerwiec 28, 2008 @ 2:46 pm | Odpowiedz

  2. jak rozwiązałeś #3?

    krzyś powiedział luty 9, 2009 @ 9:34 pm | Odpowiedz

  3. Zauważ, że napisane jest ze ten input od tekstu jest juz prawidłowo zabezpieczony. No ale wyswietlana jest też zawartość tego drugiego inputa (select boxa). Domyślić się można zatem, że ta wartość już nie jest zabezpieczona. Jak podmienić wartość tego select boxa? Jest wiele sposobów: mozna użyć firebuga, dom inspectora, samemu podmienic jsem, zapisac strone na dysku i odpowiednio wyedytowac lub tez postawić proxy (polecam burpsuite) pomiędzy i na bieżąco podmieniać pakiety.

    niteria powiedział luty 10, 2009 @ 6:39 pm | Odpowiedz

  4. Oj no to ja wiem, że tak można – ale gość na początku wyraźnie sugerował, żeby nie korzystać z tego typu rozwiązań. Pytanie, czy da sie to zrobić bez używania podstępów. Bo korzystając np. z Tempera można przejść do 8 etapu w pare sekund.

    krzyś powiedział luty 10, 2009 @ 11:07 pm | Odpowiedz

  5. Rozwiazanie, ktore przedstawiłem jest takie jakiego oczekiwał autor tych zadan. I to nie jest żaden “podstęp” tylko jeden z prostszych ataków xss. Idea jest taka, że niektórzy ludzie nie pomyślą (nie wiedzą) o tym że wartości w select boxie mozna zmienic po stronie klienta. Widziałem takie błędy na prawdziwych stronach, więc nie jest to jakies sztuczne zadanie. Wszystkie zadania da się przejść w pare sekund bez zadnego myslenia (to czy zadanie zostało rozwiązane też sprawdzane jest po stronie klienta) ale to przeciez nie o to chodzi.

    niteria powiedział luty 14, 2009 @ 5:08 pm | Odpowiedz

Dodaj komentarz