DOMベースのテスト OWASPでのXSS読み取り:
最初の架空の例では、次のクライアント側コードを使用しています。
<script> document.write("Site is at: " + document.location.href + "."); </script>
攻撃者は、影響を受けるページのURLに#alert( 'xss')を追加し、実行すると警告ボックスが表示される可能性があります。
と他のサイトは非常に類似した例について話します。
問題は、悪意のあるURL /ペイロードがどのようにユーザーに配信されるかについての説明が見つからないことです。たとえば、ユーザーがこの攻撃の犠牲になる可能性があるのは、クライアントベースの攻撃であり、サーバーとの対話が不要だからです。フィッシングはDOM XSSにも使用されますか?
また、攻撃者はDOMベースのXSS脆弱性の可能性があるサイトをどのように特定するのですか?
あなたが言及したリンクは、DOM-XSSが事実上のXSSであると言っています。これは単に、XSSで [〜#〜] dom [〜#〜] に挿入されるスクリプト(JavaScriptなど)を実行していることを示しています。
悪意のあるURL /ペイロードがユーザーに配信される方法
場合によっては( reflected XSS )フィッシングです:「ちょっとこのwebsit.com?p=[XSSペイロード]をチェックしてください」フィッシングされたユーザーがサイトにアクセスすると、スクリプトがブラウザで実行されます。
その他の場合( stored XSS )スクリプトを保存することができる場合があります。たとえば、サイトの他のすべての訪問者に表示されるコメントボックス:「ねえ、これは素晴らしいサイトです![XSSペイロード]。これで、ユーザーがサイトにアクセスしてコメントが表示されると、悪意のあるスクリプトもブラウザーで実行されます。
どちらの場合も、JavaScriptを挿入しましたが、そのペイロードは実際にはテキストとしてエンドユーザーに表示されません。ただし、スクリプトはエンドユーザーのブラウザーで実行されます。スクリプトのペイロードは、単純なアラートボックスの場合もあれば、セッション認証Cookieを、制御するサーバーに送信するペイロード(「ログイン」できるようにするもの)でも、 その他の数 でもかまいません。 。
攻撃者は、DOMベースのXSS脆弱性の可能性があるサイトをどのように特定しますか?
Burpについてはすでに触れましたが、これは素晴らしいツールです。
XSSのテスト/理解を始めるための基本的な方法は、ページを表示するときに「どのデータを制御し、どのデータを表示するか」を自問することです。スクリプトインジェクションのこれらのデータポイントをテストできれば、XSSを理解する準備ができています。一般的な基本的なXSS攻撃に対して脆弱なデータポイントは、コメント、ユーザー名、プロファイルの詳細、エラーメッセージ、および検索パラメーターです。
最初に2つ目の質問にお答えします。攻撃者は、他の脆弱性と同様にDOMベースのXSS脆弱性を特定しますが、コードがクライアント側であるため、JavaScript分析ツールも使用する可能性があります。ハッキングツールまたは自動スキャナーを使用してサイトを調査する。自動化されたスキャナーは、大規模なサイトではあまり実行されない可能性が高いです。自動スキャナーは、これらを自分で実行し、発生した問題を修正していたからです。
Burp などのツールを使用して、または fuzz パラメータを操作したり、コードを分析したりして、サイトの応答を調べることができます。
ペイロードがビティムに送信される方法について...質問は、DOMベースの反射XSSだけではなく、すべての reflected XSS 攻撃に関するものだと思います。ペイロードを送信できます:
問題は、悪意のあるURL /ペイロードがどのようにユーザーに配信されるかについての説明が見つからないことです。
例として、PaypalにXSSの脆弱性があります。
あなたが述べたように、それはフィッシングの形態を介して配信することができます。多くの人々は、Paypalを装ったページに個人情報を入力しないように十分に気づいています。「Paypal.com」が表示されている限り、URLを恐れる人は少なくなります。
攻撃は他のさまざまな方法で配信される可能性があります。いくつかの例を概説しました
また、攻撃者はDOMベースのXSS脆弱性の可能性があるサイトをどのように特定するのですか?
これらの脆弱性は他の脆弱性と同様に見つかります。人々は監査に多くの時間を費やしています。バグ報奨金、ブログトラフィック、およびサイバー犯罪シンジケートを含みます。この種のものの監査から利益を得る多くの方法があります。