Maneras en torno a la detección xss del navegador

3

La mayoría de los navegadores modernos detectarán intentos xss (código de script en la URL) y evitarán la ejecución. ¿Hay alguna forma estándar conocida de evitar esto o los ataques xss son prácticamente imposibles ahora?

    
pregunta SivaDotRender 17.07.2015 - 14:31
fuente

2 respuestas

4

No hay formas estándar, pero hay formas alrededor. Lo que tiene que hacer exactamente para moverse dependerá del navegador y de la versión. En este enlace puede encontrar algunos ejemplos para evitar la protección en Google Chrome:

enlace

La condición previa de los ejemplos en esta publicación de blog es que hay dos parámetros GET en el enlace que puedes usar para XSS. Si un atacante enviaría los siguientes parámetros GET a y b, Chrome lo bloqueará:

a=<script>alert(1)</script>&b=something

Pero si los parámetros a y b se cambian así:

a=<script>void('&b=');alert(1);</script>

... Chrome no detectará el XSS. Lo probé ahora y funciona.

    
respondido por el pineappleman 17.07.2015 - 15:05
fuente
3
Los ataques

XSS todavía son posibles ahora, para esto puede pasar por Los 10 principales de OWASP Proyecto de vulnerabilidades 2013 , que sigue siendo una de las tres principales vulnerabilidades.

Pero hoy en día los navegadores modernos están muy interesados en XSS y política del mismo origen aunque su sitio web no tiene protección contra estos ataques.

En el caso de XSS , todos los navegadores se actualizan con XSS Filters en sus versiones más recientes. Para encontrar XSS en su sitio, debe desactivar estos filtros y probar las vulnerabilidades de XSS.

Lea esto para deshabilitar el filtro XSS en IE y Firefox , y pruebe las vulnerabilidades xss.

    
respondido por el Bhuvanesh 17.07.2015 - 15:01
fuente

Lea otras preguntas en las etiquetas