Tässä moduulissa harjoitellaan XSS-haavoittuvuuksien tunnistamista ja hyväksikäyttöä. Lue tehtävänanto ja käytä aiemmissa moduuleissa opittuja taitoja ratkoaksesi tehtävän.

Pakota järjestelmänvalvoja vaihtamaan salasanansa ja kirjaudu sisään järjestelmänvalvojana!

Tässä tehtävässä käytämme hyväksi XSS-haavoittuvuutta ja kaappaamme järjestelmänvalvojan istunnon. Sovellus poikkeaa muista siten, että se suojelee evästeitä HttpOnly direktiivillä tarkoittaen, ettei evästeitä voi käsitellä JavaScript-koodista käsin!

XSS-HTTPONLY-1

Etsi sovelluksessa oleva XSS-haavoittuvuus ja ratkaise tehtävä vaaditulla tavalla. Admin-käyttäjän sähköpostiosoite on admin@ha-target.com.

*Tässä moduulissa harjoitellaan XSS-haavoittuvuuksien tunnistamista ja hyväksikäyttöä. Lue tehtävänanto ja käytä aiemmissa moduuleissa opittuja taitoja ratkoaksesi tehtävän.*

@exercise e271f14361e5

Etsi sovelluksessa oleva XSS-haavoittuvuus ja ratkaise tehtävä vaaditulla tavalla. Admin-käyttäjän sähköpostiosoite on admin@ha-target.com.


XSS vs HttpOnly

Opi löytämään ja hyväksikäyttämään haavoittuvuutta joka on yksi kaikista yleisimmistä haavoittuvuuksista, helpohko löytää, ja siitä huolimatta hyvin vaarallinen. Hackerone rankkasi XSS:n #1 bug bounty -haavoittuvuudeksi 2021.

XSS (Cross-Site Scripting) haavoittuvuudet ovat sekä yleisiä että vakavia. Esimerkiksi HackerOne on listannut XSS:n ensimmäiseksi top 10 haavoittuvuudet listallaan.

Haavoittuvuuden läpikohtainen hallitseminen on siis erittäin tärkeää, olit sitten murtotestaaja, tietoturvakonsultti, kehittäjä tai bounty hunteri!

Perusteet haltuun

Mitä ovat Cross-Site Scripting -haavoittuvuudet?

Intro

Stored XSS ja istuntoevästeiden varastaminen

XSS vs HttpOnly

Hakkeroinnin oppiminen alkaa tästä