web-dev-qa-db-ja.com

XSSの試行はサーバーにトレースを残しますか?

従来の<script>alert(1)</script>を使用してテストを行った場合、Webサイトの所有者は私の試みを確認できますか? XSSは痕跡を残しますか?

何かをテストするためにたくさんのウェブサイトを備えたUbuntuで小さなサーバーを構築してみます。 OSまたはサーバーのどこで証拠を見つけることができますか?

12
onec0de

ウェブサイトの所有者は何を見ることができますか?

基本的にすべて。

XSSベクトル(あなたの場合は<script>alert(1)</script>)が次の一部である場合:

- HTTP headers (including cookies)
- URL (path, query string) except the anchor part
- POST data (including uploaded files)

その後、ウェブサイトの所有者はそれを見ることができます。

XSSベクトルがクライアント側のみである場合、攻撃をログに記録するように Content-Security-Policy が構成されていれば、Webサイトの所有者はそれをログに記録できます。


発見されることなくXSSをテストする方法は?

許可されている場合を除き、許可しないでください。

独自の脆弱なWebサーバーを実行する

独自のウェブサーバーを実行することはそれほど難しくありません。

echo "<?php echo $_GET['xss'];" > index.php
php -S 0.0.0.0:80

http:// localhost / にあるWebサーバーが起動します。

既知の脆弱なアプリケーション

また、人々がいくつかの脆弱性を学ぶのを助けるために作成された Damn Vulnerable Web Application のようないくつかのプロジェクトをチェックしてください。

さらに、XSSには、それらを学ぶための多くのリソースがあります。

10
Benoit Esnard

ここでは、DVWAに対してテストされたXSSリフレクトの例を確認できます。

10.0.0.1 - - [15/Mar/2018:14:47:24 +0000] "GET /vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28%27xss%27%29%3B%3C%2Fscript%3E HTTP/1.1" 200 1715 "http://10.0.0.1/vulnerabilities/xss_r/" "Mozilla/5.0 (X11; Linux x86_64; rv:59.0) Gecko/20100101 Firefox/59.0"

にIDSやWAFなどの追加のセキュリティがある場合は、それが検出され、Webサイトの所有者に通知されます。

2
Ipv7