WEP lekcja #14 – Atak CSRF z użyciem cross-site scripting (XSS)

W dzisiejszym wideo kontynuującym temat ataków cross-site scripting, powiemy sobie wracając ponownie do ataku CSRF o automatycznej zmianie hasła za pomocą zapytania HTTP GET. Jak pamiętasz za pomocą spreparowanego linku i podatności typu cross-site request forgery haker mógł zmienić w podstępny sposób hasło użytkownika witryny internetowej.

Teraz pokażemy jak taki atak crackerski można zautomatyzować z pomocą JavaScript i luki  reflected lub stored XSS. Wykorzystamy do tego przykładowy mechanizm komentarzy dostępny w skrypcie szkoleniowym Damn Vulnerable Web Application.
Czytaj więcej

WEP lekcja #13 – Atak XSS (cross-site scripting) wprowadzenie

W dzisiejszej lekcji wprowadzę Ciebie do świata ataków XSS (cross-site scripting). Jest to jedna z najczęściej występujących podatności na stronach internetowych. Jej idea jest bardzo prosta. Programista jak zwykle zapomniał o filtrowani i walidacji danych pochodzących od internauty i je po prostu w pewnym miejscu strony wyświetla.

Dzięki tej właściwości zły haker może osadzić złośliwy kod HTML i JavaScript na stronie internetowej. Za pomocą luki XSS i właściwie spreparowanemu kodu JS, może wykonać on w sposób zupełnie automatyczny poznany przez Ciebie już atak CSRF lub dokonać kradzieży ciasteczek sesyjnych (cookies) logując się bez hasła.

Czytaj więcej