1. 首頁
  2. 問答
  3. 瀏覽器URL編碼XSS攻擊是否易受攻擊?

瀏覽器URL編碼XSS攻擊是否易受攻擊?

2014-03-12 280 views
1

我正在使用Burp Tool和Firefox。瀏覽器URL編碼XSS攻擊是否易受攻擊?

這是攻擊。

http://localhost/xssWebsite/?aParameter=<script>alert('XSS');</script>

我以兩種方式執行此攻擊。

  • 使用Burp Suite轉發器工具。

    GET/xssWebsite /?aParameter =包含<script>alert('XSS');</script>

    其他HTTP頭。

    響應取出包含<script>alert('XSS');</script>

  • 當我試圖實現使用Firefox相同。

    Firefox在發送請求之前對URL進行編碼,因此響應還包含未執行的編碼腳本。

我們可以使用打嗝等工具來利用這種類型的xss攻擊嗎?

來源

2014-03-12 harvey123

+0

如果burp發送請求,您將如何獲得JavaScript引擎來解析響應正文? – David

+0

所以這類攻擊不是脆弱的。 – harvey123

回答

0

您的Firefox版本正在對請求進行編碼,但舊版本或其他瀏覽器又如何?底線是,如果你已經找到了XSS,那麼它如何被利用並不重要,它只需要被修復。

來源

2015-08-26 08:04:31 DomBat

0

即使您禁用了XSS過濾器,新瀏覽器也已經對URL進行了編碼,但這些「」仍然被編碼。

爲了做你的發現的POC喜歡彈出一個警告框,你可以使用舊的瀏覽器。

您還可以使用IETester,並使用IE6標籤進行模擬。請注意IEtester中的警報框可能不工作,您可以使用「確認」代替

來源

2016-01-12 09:33:52 orbulat

0

使用代理工具(如Burp Suite)並通過截取請求來更改參數。

來源

2016-10-18 16:19:19 hax

相關問題

 相關問題