Tässä moduulissa harjoitellaan XSS-haavoittuvuuksien tunnistamista ja hyväksikäyttöä. Lue tehtävänanto ja käytä aiemmissa moduuleissa opittuja taitoja ratkoaksesi tehtävän.

Tässä tehtävässä käytämme hyväksi XSS-haavoittuvuutta tiedostonlähetystoiminnossa ja kaappaamme järjestelmänvalvojan istunnon. Tehtävässä on tarkoitus vaihtaa järjestelmänvalvojan salasana!

XSS tiedostolähetyksessä 2

JavaScript-koodia voi suorittaa myös SVG tiedostoformaatissa. Alla olevalla esimerkillä voit suorittaa JavaScript-koodia. Ratkaise tehtävä vaaditulla tavalla.

*Tässä moduulissa harjoitellaan XSS-haavoittuvuuksien tunnistamista ja hyväksikäyttöä. Lue tehtävänanto ja käytä aiemmissa moduuleissa opittuja taitoja ratkoaksesi tehtävän.*

@exercise c24bcc14459a

JavaScript-koodia voi suorittaa myös SVG tiedostoformaatissa. Alla olevalla esimerkillä voit suorittaa JavaScript-koodia. Ratkaise tehtävä vaaditulla tavalla.

```html
<?xml version="1.0" standalone="no"?> 
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//FI" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd"> 
<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
  <polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/> 
  <script type="text/javascript"> alert(1); </script> 
</svg>
```


XSS tiedostolatauksissa - SVG

Opi löytämään ja hyväksikäyttämään haavoittuvuutta joka on yksi kaikista yleisimmistä haavoittuvuuksista, helpohko löytää, ja siitä huolimatta hyvin vaarallinen. Hackerone rankkasi XSS:n #1 bug bounty -haavoittuvuudeksi 2021.

XSS (Cross-Site Scripting) haavoittuvuudet ovat sekä yleisiä että vakavia. Esimerkiksi HackerOne on listannut XSS:n ensimmäiseksi top 10 haavoittuvuudet listallaan.

Haavoittuvuuden läpikohtainen hallitseminen on siis erittäin tärkeää, olit sitten murtotestaaja, tietoturvakonsultti, kehittäjä tai bounty hunteri!

Perusteet haltuun

Mitä ovat Cross-Site Scripting -haavoittuvuudet?

Intro

Stored XSS ja istuntoevästeiden varastaminen

XSS tiedostolatauksissa - SVG

Hakkeroinnin oppiminen alkaa tästä