cross site scripting

pada tanggal
PENGANTAR
 Cross-site scripting (XSS) adalah salah satu kerentanan paling populer di aplikasi web saat ini, kerentanan ini telah berada di 10 besar OWASP selama beberapa tahun dan tampaknya tidak akan hilang, kerentanan ini dapat digunakan untuk mengeksekusi Javascript berbahaya di  browser web pengguna. ini dapat digunakan untuk mencuri token dan cookie CSRF pengguna.

 Jenis XSS:
 1.XSS yang Dipantulkan :

 Sebuah.  Penyerang mengirimkan tautan berbahaya.
 b.pengguna mengklik tautan dan dieksekusi di browser.
 c.browser mengirim data pribadi ke penyerang.

 2.XSS yang Disimpan :

 a.(attacker)person menemukan kerentanan peretasan situs web yang memungkinkan injeksi skrip.
 b.person menyuntikkan situs web dengan skrip berbahaya yang mencuri setiap cookie sesi pengunjung.
 c.untuk setiap kunjungan ke situs web, skrip berbahaya diaktifkan.
 d.kuki sesi pengunjung dikirim ke orang (penyerang)

 3.XSS berbasis DOM :

 XSS berbasis Document Object Model(DOM) terjadi saat aplikasi mengambil input yang diberikan pengguna, meneruskannya ke javascript, fungsi tersebut menggunakan input untuk mengubah lingkungan DOM.  Ini dapat terjadi melalui XSS yang direfleksikan atau XSS yang Disimpan.

 Dampak XSS:
 ● Pencurian cookie
 ● Pencatatan tombol
 ● Phising
 ● Pengalihan URL

 Cara Berburu XSS:
 ● Temukan Parameter Input, Berikan input apa pun di sana.  Jika masukan Anda mencerminkan atau disimpan di mana saja, mungkin ada XSS
 ● Coba jalankan kode Javascript apa saja di sana, jika Anda berhasil mengeksekusi javascript apa pun di sana, maka ada XSS
 ● Eksploitasi XSS

 Langkah-Langkah Berburu:
 ● Temukan beberapa halaman umum seperti – Hubungi Kami |  Bilah pencarian |  Kotak Komentar |  Forum |Daftar |  Halaman Masuk |  dll
 ● Temukan Parameter Masukan
 ● Berikan Masukan apa pun Di sana, jika Masukan Anda mencerminkan kembali kepada Anda
 ● Coba Suntikkan javascript apa pun di sana

 Daftar Dork XSS :

 inurl:".php?cmd="
 inurl:".php?z="
 inurl:".php?q="
 inurl:".php?search="
 inurl:".php?query="
 ​inurl:".php?searchstring="
 ​inurl:​".php?keyword="
 inurl:".php?file="
 ​inurl:".php?tahun="
 inurl:".php?txt="
 inurl:".php?tag="
 inurl:".php?max="
 inurl:".php?from="
 inurl:".php?author="
 inurl:".php?pass='
 ​inurl:".php?umpan balik="
 inurl:".php?mail="
 inurl:".php?cat="
 ​inurl:".php?vote="
 ​inurl:search.php?q=
 ​inurl:com_feedpostold/feedpost.php?url=
 ​inurl:scrapbook.php?id=
 ​inurl:headersearch.php?sid=

Komentar

Posting Komentar