Bueno, necesito saber ¿es posible ingresar el script xss a través de la consola de las herramientas del desarrollador (por ejemplo: firebug of firefox)? ¿Es esta una forma adecuada?
Bueno, necesito saber ¿es posible ingresar el script xss a través de la consola de las herramientas del desarrollador (por ejemplo: firebug of firefox)? ¿Es esta una forma adecuada?
Por supuesto que es posible. Es literalmente una consola en la que puedes ejecutar y ejecutar JavaScript arbitrario.
A modo de ejemplo, aquí aparece un cuadro de alerta en esta misma página:
Esto solo es peligroso si tu usuario final es lo suficientemente estúpido como para ejecutar código en herramientas de desarrollo que no entienden.
Alternativamente, si hay un exploit disponible en el complemento de su llamada que también puede aprovecharse para explotar los ataques XSS
Siento que es posible que no entiendas lo que es XSS. Echemos un vistazo a la definición que OWASP tiene :
Los ataques de scripts entre sitios (XSS) se producen cuando un atacante usa una web Aplicación para enviar código malicioso, generalmente en forma de navegador. script lateral, a un usuario final diferente.
Destacaría la última parte de esta definición: "... a un usuario final diferente".
En mi opinión, para calificar como un ataque XSS, deberías enviar una solicitud a un sitio web y hacer que ese sitio responda con el contenido malicioso. Las formas en que esto puede suceder generalmente se dividen en dos métodos diferentes:
XSS reflejado : parte de su URL se representa en la página y el ataque la carga es parte de su URL. Necesitas engañar a los usuarios para que hagan clic. Tu enlace para ejecutar el ataque.
XSS almacenados : el XSS se almacena en el servidor debido a la inseguridad. programación. Luego, cuando un usuario visita la página con la carga útil XSS, El ataque se llama desde el servidor. El usuario solo necesita visitar la página, no se requiere hacer clic en el enlace.
Según lo anterior, diría que XSS no es posible a través de la consola. En su lugar, solo está ejecutando javascript de su elección en su navegador local. No podrías atacar a otro usuario.
Puedes cambiar el atributo maxlength de una entrada haciendo esto.
primero busca el ID de la entrada y escribe esto en la consola
var inp = document.getElementById("id_name");
Luego cambia el atributo maxlength escribiendo esto en la consola
inp.setAttribute("maxlength","2000");
Después de hacer eso, puedes escribir hasta 2000 caracteres en la entrada seleccionada.
Este no es un ataque XSS por sí solo, pero si la víctima depende del atributo maxlength (sin ninguna validación de formulario del lado del servidor) para proteger el sitio web, esto le dará al atacante la libertad de enviar tanto código como Quieren al servidor.
Lea otras preguntas en las etiquetas web-application appsec xss