DOM XSS ataque falla en Firefox

6

Estoy intentando realizar un ataque DOM XSS para explotar una vulnerabilidad de la página web localhost. Soy capaz de realizar el ataque con éxito en IE-11 y Chrome. Pero Firefox me está impidiendo realizar el ataque al codificar el script que puse en la URL. Estoy realizando el ataque como se explica en página oficial de OWASP . Para evitar el auditor XSS de Chrome, estoy siguiendo el truco explicado en este increíble artículo (a pesar de que explica Reflexionado XSS en el artículo, pero también funciona bien para DOM XSS). Entonces, ¿cómo puedo realizar un ataque DOM XSS en la última versión de Firefox?

Nota: Puedo realizar un XSS reflejado con Firefox ( ejemplo ) pero quiero DOM XSS específicamente donde la información no se envía al servidor.

    
pregunta Siddharth 07.03.2014 - 04:05
fuente

2 respuestas

9

El motivo es simple: Firefox (creo que a partir de la versión 27) ahora codifica (URL codificado) todo y ahora solo puedes explotar DOM XSS en Firefox si en el código los desarrolladores cometen un error explícito de descodificación.

Puede encontrar útil este artículo recientemente publicado: enlace

    
respondido por el user36484 07.03.2014 - 16:30
fuente
5

Tal vez revise enlace para ayudarlo a determinar qué caracteres están codificados o no en función del proveedor del navegador.

Por ejemplo, en el siguiente ... scheme://user:pass@host/path/to/page.ext/Pathinfo;semicolon?search.location=value#hash=value&hash2=value2 ... los caracteres que no están codificados como URL en la parte PathInfo , la parte search y la parte hash en Firefox se enumeran a continuación (captura de pantalla de una parte de la página enlazada arriba):

    
respondido por el Tate Hansen 07.03.2014 - 04:46
fuente

Lea otras preguntas en las etiquetas