Wir haben ein praktisches Beispiel behandelt, das eine codierte Cross-Site-Scripting-Schwachstelle unter Verwendung von Zeichenkodierung und Brup Suite demonstriert, um Herausforderung 004 im kostenlosen OWASP Hackademic-Labor zu lösen.
Cross-Site-Scripting (XSS) ist eine Schwachstelle in Webanwendungen, die es Angreifern ermöglicht, Skripte in Webseiten einzuschleusen. Es gibt zwei Arten von XSS-Angriffen. Der primäre Schutz gegen XSS-Angriffe liegt bei der Webanwendung mit ausgefeilten Eingabevalidierungstechniken. OWASP empfiehlt dringend die Verwendung einer Sicherheitscodierungsbibliothek. Wenn eine Codierungsbibliothek implementiert wird, bereinigt sie HTML-Code und verhindert XSS-Angriffe.
Reflected XSS beginnt damit, dass ein Angreifer eine bösartige E-Mail erstellt und dann einen Benutzer auffordert, darauf zu klicken. Die bösartige URL wird häufig in einer Phishing-E-Mail platziert, kann aber auch auf einer öffentlichen Website platziert werden, beispielsweise als Link in einem Kommentar. Wenn der Benutzer auf die bösartige URL klickt, wird eine HTTP-Anfrage mit dem Cookie des Benutzers an einen Server gesendet, mit dem der Angreifer das Benutzer-/Administratorkonto durch sogenanntes Session Hijacking kapern kann.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Komplettlösung