Olá amigos, nesta seção, falarei sobre a vulnerabilidade do xss, acho que explicarei a vulnerabilidade do xss seção por seção.
O que é XSS ?
Vulnerabilidade XSS; É um tipo aberto que nos permite executar o código java script no navegador do administrador ou do usuário, e é muito perigoso porque esse servidor pode não apenas hackear o administrador, mas também hackear os usuários.
Usando a vulnerabilidade XSS no URL
Se você perguntar qual é a vulnerabilidade xss no URL, podemos executar o código java script no URL graças à vulnerabilidade xss, para que você possa hackear qualquer pessoa que acessar este site. Se você perguntar como eles chegarão ao site, você pode clicar no link para seu alvo encurtando o link que depende de suas habilidades de engenharia social ou usando outras táticas de engenharia social. Agora deixe-me explicar na prática;
Vamos abrir nosso DVWA e ir até o local onde está escrito XSS refletido na lateral.
Amigos agora nos deram um fórum aqui e perguntaram nosso nome, vamos escrever nosso nome e ver se dá certo.
Escrevi ahmet no fórum e ele me deu uma resposta como olá ahmet, mas se você percebeu, coloquei em um círculo vermelho e já mostrava meu nome na url. Agora, quando vemos um fórum, tentamos estragá-lo. Agora vamos tentar interromper este fórum, por exemplo, vamos ver se consigo executar o código java script neste fórum.
OBSERVAÇÃO: AMIGOS, ESCREVI UM CÓDIGO JAVA SCRIPT FÁCIL PARA QUE FIQUE CLARO, VOCÊ PODE ENCONTRAR JAV Script KOLDAR NO GOOGLE OU PODE ESCREVER SE TIVER CONHECIMENTO DE CODIFICAÇÃO.
Por exemplo, quero dar um aviso na tela que EU HACK VOCÊ, ou seja, você foi hackeado, então na seção do fórum;
<script>alert("I Hack You")</script>
Vou executar o seu código. Esse código vai dar um aviso no site que eu te hackeei.
Como podem ver na foto, deu o aviso que eu queria na tela.
Se você notou, o script java que escrevi na seção url funcionou. Agora, se eu copiar este url e fizer alguém engoli-lo com engenharia social, um aviso aparecerá quando a vítima clicar no url, ou podemos fazer algo mais perigoso e executá-lo em diferentes códigos de script java.
Espero que tenha sido um tema útil, fiz uma explicação detalhada no vídeo.
LINK DE VÍDEO: