Day 8
Webhacking 1/2
XSS Attacks
-
Stored XSS injected Script is permanently stored on the target server
-
Reflected XSS need to construct a malicious URL
-
DOM based XSS vulnerability is in the client-side code rather rhan the server-side code
Stored XSS
Angreifer sendet JS Code an Server. Wird dort gespeichert in DB, File, was auch immer ein Opfer geht später auf die Website und der JS Code wird injected skaliert gut, alles Clients werden infisziert und der JS Code auf Client Site / Victim Browser ausgeführt
Reflected XSS
Angreifer sendet JS Code an Opfer (HTML Mail …), oder ein Link per Mail, welcher das Opfer anklickt im Link wird der Schadcode (JS Script) mitgegeben und auf dem Server ausgeführt. Der verwundbare Server gibt den Script dann im “HTML Code” zurück, welcher auf dem Client dann ausgeführt wird.
DOM based XSS
wird nicht an den Server geschickt. Kann im Webrequest hinter dem Hash (#) versteckt werden und wird deshalb nicht an den Server geschickt. Wird aber im Client ausgeführt und kann das DOM Objekt lokal angreifen …
sha256: 59a2cd0db99c2f4aae93158b7005353c9de9d82111b40e3bae976840331efc94