Добро пожаловать обратно, мои начинающие кибервоины!
Межсайтовый скриптинг (XSS) — одна из самых проблемных уязвимостей веб-приложений. Она почти каждый год входит в десятку самых опасных уязвимостей веб-сайтов по версии OWASP. Подробнее о межсайтовом скриптинге можно прочитать в моей публикации здесь .
В этом уроке я покажу, как использовать BurpSuite для проверки веб-сайта на наличие XSS-уязвимости.
Шаг №1: Запустите Kali и OWASP BWA
Для начала запустите Kali.
Затем запустите сервер OWASP Broken Web App (BWA).
Шаг №2 Запуск Burp Suite
Теперь запустите Burp Suite из Kali.
Убедитесь, что в вашем браузере настроен прокси-сервер. Подробнее о том, как настроить прокси-сервер в браузере, читайте в моей статье здесь.
При запуске BurpSuite вы увидите стартовый экран, подобный показанному ниже, на котором вас спросят, хотите ли вы создать временный проект, создать новый проект на диске или открыть существующий проект.
Давайте просто воспользуемся временным проектом.
Шаг №3: Откройте Mutillidae II
Теперь в веб-браузере Kali перейдите по IP-адресу системы OWASP BWA. Затем выберите Mutillidae II.
В меню Mutillidae II выберите:
–>OWASP 2013 (вверху слева)
–>затем выберите Межсайтовый скриптинг
–>выбрать, Постоянный (Второй порядок)
–>наконец, выберите «Добавить в свой блог»
Шаг №4: Добавьте в свой блог
Теперь, открыв приложение «Блог», как показано ниже,
Продолжайте и добавьте что-нибудь в свой блог.
В моем случае я добавил: «Это мой блог о постоянных XSS».
Вы можете добавить любую запись в блог, которая вам нравится.
Теперь убедитесь, что перехват включен в вашем Burp Suite, а затем нажмите «Сохранить запись в блоге».
Шаг №5: Перехват POST-запроса
Если перехват в BurpSuite включен, вы должны «перехватывать» POST-запросы в блог до того, как они попадут на сервер. Обратите внимание: в последней строке запись блога выделена красным цветом.
Шаг №6: Добавьте сценарий в публикацию в блоге
Теперь, перехватив запись в блоге, вы можете добавить скрипт. Этот скрипт будет сохранён вместе с записью в базе данных сайта. Это делает его постоянным. В моём случае я добавил следующий скрипт после записи в блоге и перед «add-to-your-blog-php…», как показано ниже.
<script>alert(«Hackers-Arise — лучшее решение для кибербезопасности»);</script>
Теперь перешлите публикацию (кнопка «Переслать») в блог. Вернувшись в браузер, вы увидите на экране постоянное и раздражающее (хотя и верное) всплывающее окно с предупреждением.
Поздравляем, вам удалось добавить постоянную XSS на веб-сайт Mutillidae II, которая будет напоминать и раздражать каждого пользователя, который переходит к этому приложению.
Краткое содержание
Постоянный межсайтовый скриптинг (Persistent Cross-Site Scripting) — это процесс внедрения в веб-приложение скрипта, который будет выполняться при каждом его просмотре. Эта уязвимость неизменно входит в десятку самых серьёзных уязвимостей OWASP. Burp Suite — отличный инструмент для проверки веб-сайтов на наличие этой распространённой уязвимости.
Межсайтовый скриптинг (XSS) — одна из самых проблемных уязвимостей веб-приложений. Она почти каждый год входит в десятку самых опасных уязвимостей веб-сайтов по версии OWASP. Подробнее о межсайтовом скриптинге можно прочитать в моей публикации здесь .
В этом уроке я покажу, как использовать BurpSuite для проверки веб-сайта на наличие XSS-уязвимости.
Шаг №1: Запустите Kali и OWASP BWA
Для начала запустите Kali.
Затем запустите сервер OWASP Broken Web App (BWA).
Шаг №2 Запуск Burp Suite
Теперь запустите Burp Suite из Kali.
При запуске BurpSuite вы увидите стартовый экран, подобный показанному ниже, на котором вас спросят, хотите ли вы создать временный проект, создать новый проект на диске или открыть существующий проект.
Давайте просто воспользуемся временным проектом.
Шаг №3: Откройте Mutillidae II
Теперь в веб-браузере Kali перейдите по IP-адресу системы OWASP BWA. Затем выберите Mutillidae II.
В меню Mutillidae II выберите:
–>OWASP 2013 (вверху слева)
–>затем выберите Межсайтовый скриптинг
–>выбрать, Постоянный (Второй порядок)
–>наконец, выберите «Добавить в свой блог»
Шаг №4: Добавьте в свой блог
Теперь, открыв приложение «Блог», как показано ниже,
Продолжайте и добавьте что-нибудь в свой блог.
В моем случае я добавил: «Это мой блог о постоянных XSS».
Вы можете добавить любую запись в блог, которая вам нравится.
Теперь убедитесь, что перехват включен в вашем Burp Suite, а затем нажмите «Сохранить запись в блоге».
Шаг №5: Перехват POST-запроса
Если перехват в BurpSuite включен, вы должны «перехватывать» POST-запросы в блог до того, как они попадут на сервер. Обратите внимание: в последней строке запись блога выделена красным цветом.
Шаг №6: Добавьте сценарий в публикацию в блоге
Теперь, перехватив запись в блоге, вы можете добавить скрипт. Этот скрипт будет сохранён вместе с записью в базе данных сайта. Это делает его постоянным. В моём случае я добавил следующий скрипт после записи в блоге и перед «add-to-your-blog-php…», как показано ниже.
<script>alert(«Hackers-Arise — лучшее решение для кибербезопасности»);</script>
Теперь перешлите публикацию (кнопка «Переслать») в блог. Вернувшись в браузер, вы увидите на экране постоянное и раздражающее (хотя и верное) всплывающее окно с предупреждением.
Поздравляем, вам удалось добавить постоянную XSS на веб-сайт Mutillidae II, которая будет напоминать и раздражать каждого пользователя, который переходит к этому приложению.
Краткое содержание
Постоянный межсайтовый скриптинг (Persistent Cross-Site Scripting) — это процесс внедрения в веб-приложение скрипта, который будет выполняться при каждом его просмотре. Эта уязвимость неизменно входит в десятку самых серьёзных уязвимостей OWASP. Burp Suite — отличный инструмент для проверки веб-сайтов на наличие этой распространённой уязвимости.
