2. 질의 응답
  3. 브라우저 URL 인코딩 XSS 공격이 취약합니까?

브라우저 URL 인코딩 XSS 공격이 취약합니까?

2014-03-12 2 views
1

나는 Burp Tool과 Firefox를 사용 중입니다.브라우저 URL 인코딩 XSS 공격이 취약합니까?

이것은 공격입니다.

http://localhost/xssWebsite/?aParameter=<script>alert('XSS');</script>

나는이 공격을 두 가지 방법으로 수행합니다.

  • Burp Suite repeater Tool을 사용하십시오.

    GET/xssWebsite /? aParameter = <script>alert('XSS');</script>

    다른 HTTP 헤더가 포함되어 있습니다. i가 동일하여 파이어 폭스을 달성하려 할 때

    응답

  • <script>alert('XSS');</script> 포함 페치.

    Firefox는 요청을 보내기 전에 URL을 인코딩하므로 응답에도 실행되지 않는 인코딩 된 스크립트가 포함되어 있습니다.

우리는 XSS 공격의 유형을 악용 트림 같은 도구를 사용할 수 있습니까?

출처

2014-03-12 harvey123

+0

burp가 요청을 보낸 경우 어떻게 응답 본문을 구문 분석 할 자바 스크립트 엔진을 얻으시겠습니까? – David

+0

이런 종류의 공격은 취약하지 않습니다. – harvey123

답변

0

귀하의 Firefox 버전이 요청을 인코딩하지만 이전 버전이나 다른 브라우저는 어떻게됩니까? 결론은 XSS를 찾은 경우 악용 될 수있는 방법과 상관없이 문제가 해결된다는 것입니다.

출처

2015-08-26 08:04:31 DomBat

0

최신 브라우저는 이미 URL을 인코딩했으며 XSS 필터를 사용하지 않도록 설정 한 경우에도 여전히 인코딩됩니다.

경고 상자를 표시하는 것과 같은 결과의 POC를 수행하려면 이전 브라우저를 사용할 수 있습니다.

또한 IETester를 사용할 수 있으며, IE6 탭을 사용하여 시뮬레이션 할 수 있습니다. 알림 상자가 IEtester에서 작동하지 않을 수 있으므로 대신 "확인"을 사용할 수 있습니다.

출처

2016-01-12 09:33:52 orbulat

0

Burp Suite와 같은 프록시 도구를 사용하여 요청을 가로 채서 매개 변수를 변경하십시오.

출처

2016-10-18 16:19:19 hax

관련 문제

 관련 문제