WYSIWYG XSS ja SoMe-madot

Helppo45MIN

*Tässä moduulissa hyväksikäytämme harjoituskohteessa olevaa XSS-haavoittuvuutta, joten voit käynnistää alla olevan tehtävän ja toistaa vaiheet omassa tahdissa. *

Tässä moduulissa tutustumme WYSIWYG-editoreihin sekä käytämme hyväksi kyseisessä editorissa piilevää XSS haavoittuvuutta. Aloitetaan tutustumalla Samy Kamkarin vuonna 2005 MySpacessa, kulovalkean tavoin levinneeseen XSS matoon.

https://en.wikipedia.org/wiki/Samy_(computer_worm)

https://www.youtube.com/watch?v=DtnuaHl378M

Seuraavaksi seuraamme Samyn jalanjäljissä ja toteuttamaan saman hyökkäyksen.

WYSIWYG-editorit

Alla kuva TinyMCE WYSIWYG-editorista.

WYSIWYG (What You See Is What You Get)-editorit mahdollistavat rikastetun tekstin luomisen selaimessa. Rikastettu teksti tarkoittaa sellaista tekstiä, jossa voi olla värejä, kursivointeja, joskus kuvia, listoja ja muita samanlaisia toimintoja.

Tyypillisesti tällaiset editorit ovat kulissien takana HTML-editoreita, jotka lähettävät palvelimelle käyttäjän selaimessa WYSIWYG-editorilla aikaansaaman HTML-koodin.

Luonnollisesti tällaisessa ratkaisussa elää vaara, että käyttäjä lisääkin vaikka värien ja fonttien lisäksi haitallista JavaScript-koodia HTML-koodin sekaan.

1 / 8

Edellinen: Evästeiden vuodatus verkon yliEdellinen Seuraava: XSS JavaScript-merkkijonoissa 1Seuraava

Hakatemia Pro

Hakkeroinnin oppiminen alkaa tästä

Sadat interaktiiviset kurssit, virtuaalilabrat ja CTF-haasteet selaimessasi. Aloita ilmainen kokeilu ilman korttitietoja.