ecs-lecture
/
hacking
2
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
hacking/gruyere-persistent-xss.md

979 B
Raw Permalink Blame History

Persistent XSS

Ziel

Ziel ist es, einen persistenten Cross Site Scripting-Angriff gegen eine Webanwendung durchzuführen. Dies bedeutet, dass das bösartige Skript auf dem Server gespeichert wird und an alle Benutzer der Seite ausgeliefert wird.

Voraussetzungen

  • Webbrowser (z.B. Chrome oder Firefox)
  • Texteditor
  • Gruyere ist verfügbar (siehe Anleitung)

Übung

  1. Erzeugen Sie eine HTML-Seite auf Ihrem Rechner, die JavaScript-Code enthält, um den Benutzer anzugreifen. Sie können z.2. ein Cookie stehlen oder eine Dialogbox anzeigen.
  2. Suchen Sie nach Möglichkeiten, diese Datei in Gruyere hochzuladen. Generell gibt es zwei Stellen zum Upload: New Snippets und Upload.
  3. Versuchen Sie, Ihre Seite in den Bereich "New Snippets" zu kopieren. Sie werden merken, dass die Eingaben gefiltert werden. Versuchen Sie Ihre Datei trotzdem hineinzukopieren.
  4. Versuchen Sie, Ihre Datei mit der "Upload"-Funktion hochzuladen.