vulnerabilidades tipos site script salvaguardas reflected para hacer cross como ataque advertencia javascript html security xss

javascript - tipos - ¿Cómo deshabilitar temporalmente la protección XSS en los navegadores modernos para realizar pruebas?



tipos de vulnerabilidades xss (7)

¿El uso del argumento deshabilitado es temporal? En pruebas limitadas parece permanente. XSS-Auditor permanece deshabilitado en las ventanas de Chrome iniciadas sin ningún argumento xss-auditor. Para volver a activar, utilice "C: / Archivos de programa (x86) / Google / Chrome / Application / chrome.exe" --enable-xss-auditor

¿Es posible desactivar temporalmente la protección XSS que se encuentra en los navegadores modernos para propósitos de prueba?

Estoy tratando de explicarle a un compañero de trabajo lo que sucede cuando uno envía esto a un formulario web vulnerable a XSS:

<script>alert("Danger");</script>

Sin embargo, parece que tanto Chrome como Firefox están impidiendo la ventana emergente XSS. ¿Puedo deshabilitar esta protección para poder ver completamente los resultados de mis acciones?

En Chrome hay una bandera con la que puedes iniciar el navegador. Si inicia el navegador con esta bandera, puede hacer lo que quiera:

--disable-web-security

No es necesario deshabilitar la protección XSS.

Si no puede cargar su página, es porque su "prueba" ha descubierto una falla que necesita corregir.

Si no tiene fallas en su página, XSS no lo bloqueará.

Corrija su HTML para que "escape" correctamente todos los datos de entrada de la URL, y no verá las advertencias de XSS.

¡Es mejor no deshabilitar esto, porque Chrome es mejor para buscar esos errores en su fuente HTML que los globos oculares!

Para la comodidad de quienes no saben ....

"C: / Archivos de programa (x86) / Google / Chrome / Application / chrome.exe" --args --disable-web-security

Usa lo anterior como el camino del atajo.

Puede redirigir al usuario a otra página web local cuando se envía el formulario e imprimir los datos infectados. Chrome no lo detectará.

Sugerencia: puede usar sesiones / cookies para almacenar los datos infectados entre las 2 páginas.

Ejemplo en PHP:

index.php

<?php setcookie(''infected'', $_POST[''infected'']); if($_POST[''infected'']) header(''location: show.php''); ?> <form action="index.php" method="POST" /> <p> Username: <input type="text" name="infected" /> <input type="submit" value="Add Comment" /> </p> </form>

show.php

echo $_COOKIE[''data''];

Sé que esto no lo soluciona, pero es posible que solo necesite un mensaje en los sitios por ahora hasta que Google lo arregle. algo así como, "Si usas Chrome puedes experimentar ...". Descubrí que, a pesar de que aparece la pantalla de error, el contenido de hecho va a la base de datos. Acabo de golpear para volver al sitio. Entonces ve al tablero de mandos y ahí está. Dolor en el culo, pero es una solución alternativa que no necesita hacer retroceder los sitios.

Si solo desea deshabilitar XSS debe usar --disable-xss-auditor . Un argumento completo sería algo como:

"C: / Archivos de programa (x86) / Google / Chrome / Application / chrome.exe" --disable-xss-auditor

Asegúrese de que todos los procesos chrome.exe se eliminen antes de ejecutar el comando o no tendrá ningún efecto. También puede pasar más argumentos si lo desea, por ejemplo, a menudo uso un argumento proxy porque no quiero habilitar un proxy para todo mi sistema.

"C: / Archivos de programa (x86) / Google / Chrome / Application / chrome.exe" --disable-xss-auditor --proxy-server = 127.0.0.1: 8080