Estoy realizando los ejercicios de WebGoat para actualizar mi conocimiento de los ataques XSS.
Específicamente, estoy haciendo el ejercicio XSS de la Etapa 1. Este ejercicio tiene una forma que deliberadamente no sanea la entrada. El video de la solución muestra cómo se usa la función de alerta de JavaScript para enviar un mensaje y la cookie de sesión.
La etapa 3 tiene un fragmento de código XSS integrado, que al ver un perfil mostrará el contenido de 'document.cookie'.
En cualquier navegador moderno, todos sin complementos, no puedo ejecutar esto. Puedo generar mensajes usando la alerta de JavaScript, pero nunca imprime el contenido de document.cookie
El tutorial en esta página para obtener cookies muestra que es posible imprimir el contenido de document.cookie en un mensaje de alerta de JavaScript.
Lo que me gustaría saber es por qué no puedo hacer lo mismo en una aplicación web XSS muy simple y deliberadamente vulnerable. ¿Hay alguna detección de XSS en todos los navegadores modernos que lo impida? He probado con las opciones para deshabilitar la seguridad web en IE, Firefox y Chrome y no hace ninguna diferencia.
editar:CosasqueheprobadotantoparaWebGoat5.4comoparaWebGoat6.0.1:
- AccesoatravésdeFirefoxconunnuevoperfilpredeterminadoysincomplementos
- Chromecon--disable-web-securityy/o–disable-xss-auditorargumentos
- AccediendoatravésdeMantra
- EstablecerelencabezadoX-XSS-Protectionen0enmissolicitudes.
¿WebGoatestátratandodeenseñarsobreunataqueXSSqueyanoesunaamenaza?
2daedición:
SegúnlarespuestadeMartin,intentéconfigurarelencabezadomanualmentecomoseveenlascapturasdepantallaacontinuación.Hemodificadoeltítulodelalecciónparaqueseaobvioqueelviolinistaestáinterceptandolapáginacorrectamente.
La cookie no está configurada como segura3 o httponer, pero se niega a ser leída desde cualquier navegador a través de JavaScript, a través de bookmarklet o Scratchpad. La cookie está configurada correctamente en el navegador y se puede ver en los diálogos de cookies de los navegadores.
¿Qué propiedad de esta cookie impide que se lea?