web-dev-qa-db-ja.com

XSSのテスト-手動で検証する方法は?

BurpとAppscanに、特定のページの特定の変数が原因でReflectedXSSが可能であると言われました。

次の例は、Appscanが注入したものの例です。

'%252fmypage.aspx%253fHomeURL%253d%252fmyotherpage.aspx"/><script>alert(152695)</script>'

げっぷが注入したもの

x.com/mypage.aspx?HomeURL=%2fmyotherpage.aspxae6fd'onmouseover%3d'alert(1)'30ec6

引用符の有無、エンコードの違いなど、両方のバリエーションを試しましたが、どのブラウザでもJavaScriptを使用できません。現在、-disable-web-securityを使用してchromeを試していますが、違いはありません。

ページのソースにコードを表示できるので、脆弱性が存在することはわかっていますが、実際に検証するのに問題があります。

脆弱性を検証するために使用したげっぷとappscanとの共通点はありますか?

これをもっとよく理解して、将来簡単に検証できるようにしたいと思います。

1
Sonny Ordell

Appscanには、特定の脆弱性に対してAppscanの特別な「すべての世界で最悪の」ブラウザを開く「ブラウザに表示」機能があります。誤検知でない場合、このブラウザはJavascriptを実行する必要があります。誤検知をチェックするための非常に信頼できる方法であることがわかりました。
enter image description here

他のすべてのテストでは、FirefoxがXSSからの保護が最も低いことがわかったため、手動テストには常にFirefoxを使用しています。

XSSを実行する実際のページがリダイレクトされたエラーページであり、ハンドテストをそのエラーページまで続行することを許可していない可能性があります。

表示されているBurpの例では、問題のコントロールの上に実際にマウスを移動するまで、Javascriptは実行されないことに注意してください。

4
mcgyver5

AppScanおよびBurpSuiteのレポートには、JavaScriptが実行されていない場合でもXSSが反映されています。これは、その特定の要求に対する応答が追加されたペイロードで構成されていることを示していますが、ペイロードがJavaScriptとして実行されたか、プレーンテキストとして取得されたかは表示されません。

1
Irfan