Pruebas XSS: ¿cómo validar manualmente?

1

Burp y Apps me dicen que Reflected XSS es posible debido a una variable en particular en una página en particular.

Se da el siguiente ejemplo de lo que Appscan inyectó

'%252fmypage.aspx%253fHomeURL%253d%252fmyotherpage.aspx"/><script>alert(152695)</script>'

y lo que Burp inyectó

x.com/mypage.aspx?HomeURL=%2fmyotherpage.aspxae6fd'onmouseover%3d'alert(1)'30ec6

He intentado variaciones en ambas, con y sin comillas, codificación diferente, y nunca puedo hacer que ningún javascript funcione en ningún navegador. Actualmente estoy probando Chrome con --disable-web-security, lo que no hace diferencias.

Puedo obtener el código que se muestra en la fuente de la página, así que sé que está allí, pero tengo problemas para validarlo.

¿Qué hay en común, en todo caso, con qué burp y appscan se utilizan para validar la vulnerabilidad?

Me gustaría entender esto mejor para poder validarlo más fácilmente en el futuro.

    
pregunta Sonny Ordell 25.08.2014 - 11:48
fuente

2 respuestas

4

Appscan tiene la función "mostrar en el navegador" que abre el navegador especial "lo peor de todos los mundos" de Appscan para la vulnerabilidad dada. Si no es un falso positivo, este navegador debería ejecutar el Javascript. He encontrado que es una forma bastante confiable de verificar falsos positivos.

Para todas las demás pruebas, descubrí que Firefox es el menos protegido contra XSS, por lo que siempre uso Firefox para las pruebas manuales.

Sucede que la página real que ejecuta el XSS es una página de error a la que se ha redirigido y tal vez no está permitiendo que la prueba manual continúe hasta esa página de error.

Tenga en cuenta que con el ejemplo de Burp que muestra, el Javascript no se ejecutará hasta que realmente mueva el mouse sobre el control en cuestión.

    
respondido por el mcgyver5 26.08.2014 - 00:36
fuente
1

Los informes de la suite AppScan y Burp reflejaron XSS incluso cuando no se ejecuta JavaScript. Muestra que la respuesta para esa solicitud en particular consiste en la carga útil agregada, pero si la carga útil se ejecutó como JavaScript o si se tomó como texto simple no se muestra.

    
respondido por el Irfan 20.01.2015 - 13:26
fuente

Lea otras preguntas en las etiquetas