scripts XSS en la consola

Navega tus respuestas
5

Bueno, necesito saber ¿es posible ingresar el script xss a través de la consola de las herramientas del desarrollador (por ejemplo: firebug of firefox)? ¿Es esta una forma adecuada?

    
pregunta user2376425 07.11.2013 - 06:17
fuente

3 respuestas

14

Por supuesto que es posible. Es literalmente una consola en la que puedes ejecutar y ejecutar JavaScript arbitrario.

A modo de ejemplo, aquí aparece un cuadro de alerta en esta misma página:

Esto solo es peligroso si tu usuario final es lo suficientemente estúpido como para ejecutar código en herramientas de desarrollo que no entienden.

Alternativamente, si hay un exploit disponible en el complemento de su llamada que también puede aprovecharse para explotar los ataques XSS

    
respondido por el NULLZ 07.11.2013 - 06:43
fuente
3

Siento que es posible que no entiendas lo que es XSS. Echemos un vistazo a la definición que OWASP tiene :

  

Los ataques de scripts entre sitios (XSS) se producen cuando un atacante usa una web   Aplicación para enviar código malicioso, generalmente en forma de navegador.   script lateral, a un usuario final diferente.

Destacaría la última parte de esta definición: "... a un usuario final diferente".

En mi opinión, para calificar como un ataque XSS, deberías enviar una solicitud a un sitio web y hacer que ese sitio responda con el contenido malicioso. Las formas en que esto puede suceder generalmente se dividen en dos métodos diferentes:

  

XSS reflejado : parte de su URL se representa en la página y el ataque   la carga es parte de su URL. Necesitas engañar a los usuarios para que hagan clic.   Tu enlace para ejecutar el ataque.

     

XSS almacenados : el XSS se almacena en el servidor debido a la inseguridad.   programación. Luego, cuando un usuario visita la página con la carga útil XSS,   El ataque se llama desde el servidor. El usuario solo necesita visitar   la página, no se requiere hacer clic en el enlace.

Según lo anterior, diría que XSS no es posible a través de la consola. En su lugar, solo está ejecutando javascript de su elección en su navegador local. No podrías atacar a otro usuario.

    
respondido por el Abe Miessler 08.11.2013 - 00:55
fuente
-2

Puedes cambiar el atributo maxlength de una entrada haciendo esto.

primero busca el ID de la entrada y escribe esto en la consola 

var inp = document.getElementById("id_name");

Luego cambia el atributo maxlength escribiendo esto en la consola 

inp.setAttribute("maxlength","2000");

Después de hacer eso, puedes escribir hasta 2000 caracteres en la entrada seleccionada.

Este no es un ataque XSS por sí solo, pero si la víctima depende del atributo maxlength (sin ninguna validación de formulario del lado del servidor) para proteger el sitio web, esto le dará al atacante la libertad de enviar tanto código como Quieren al servidor.

    
respondido por el An_tho_ny 05.03.2015 - 18:14
fuente

Lea otras preguntas en las etiquetas

¿Se ha comprobado matemáticamente que el 100% (o el 99%) sea seguro? ¿Qué es una buena estrategia de cifrado de datos para un recurso compartido (texto)?