web-dev-qa-db-ja.com

コンソールのXSSスクリプト

開発者のツールのコンソールからxssスクリプトを入力することは可能ですか(例:firefoxのfirebug)?これは正しい方法ですか?

5
user2376425

もちろん可能です。文字通り、任意のJavaScriptを実行できるコンソールです。

例として、このページにアラートボックスを表示する方法を次に示します。 console

これは、エンドユーザーが理解できない開発ツールでコードを実行できるほど愚かである場合にのみ危険です。

あるいは、プラグインで利用可能なエクスプロイトがある場合、XSS攻撃を悪用するために利用される可能性のある呼び出し

14
NULLZ

XSSが何かわからない方もいらっしゃると思います。 OWASPの定義 を見てみましょう。

クロスサイトスクリプティング(XSS)攻撃は、攻撃者がWebアプリケーションを使用して、通常はブラウザー側のスクリプトの形式で悪意のあるコードを別のエンドユーザーに送信するときに発生します。

この定義の最後の部分である「...別のエンドユーザーに」を強調します。

私の考えでは、XSS攻撃と見なされるには、Webサイトにリクエストを送信し、そのサイトに悪意のあるコンテンツで応答させる必要があります。これが発生する可能性がある方法は、通常、2つの異なる方法に分類されます。

Reflected XSS:URLの一部がページにレンダリングされ、攻撃ペイロードがURLの一部になります。攻撃を実行するには、ユーザーをだましてリンクをクリックさせる必要があります。

Stored XSS:安全でないプログラミングのため、XSSはサーバー自体に保存されます。次に、ユーザーがXSSペイロードでページにアクセスすると、サーバーから攻撃が呼び出されます。ユーザーはページにアクセスするだけで、リンクをクリックする必要はありません。

上記に基づいて、コンソールからXSSを実行することはできません。むしろ、あなたはあなたのローカルブラウザであなたが選んだjavascriptを実行しているだけです。別のユーザーを攻撃することはできません。

3
Abe Miessler