А как вы проверяете уязвимости на сайте XSS атак?

Question

Ришат Султанов @rishatss

Simple Developer ^)

А как вы проверяете уязвимости на сайте XSS атак?

Добрый день.
Скажите пожалуйста как вы работаете с XSS атаками.
Вот я на винде часто просто в поля вставлял JS код и видел что да как.
Но там я использовал Internet Explorer. Он с радостью выводил JS код который был отправлен как XSS атака.

Ноо в таких браузерах как Google Chrome. Мазила и тд. Никак не могу вывести JS XSS атаку..

Может где-то включается это в браузерах ? Защищены как я понял браузеры от этого.

Вопрос задан более трёх лет назад
2221 просмотр

Комментировать

Подписаться 16 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 5

2 комментария

Ришат Султанов @rishatss Автор вопроса

Да, все верно :) Спасибо :) Очень интересная статья.
Но меня сейчас не это интересует.
Меня интересует возможность стать жертвой XSS атаки. Так сказать. Чтобы код который я вставил в уязвимое поле. Отработал в современном браузере. Но такого не происходит. Значит там есть защита. Да и Вашей статье об этом говорится :)
Internet Explorer не хочет защищать меня от XSS неуязвимые поля. Он выводит скрипт и делает меня жертвой. Чего я и добиваюсь на современных браузерах достичь :)

Написано более трёх лет назад
Андрей Саныч @mountpoint

Ришат Султанов, Ну так попробуйте отдавать сервером заголовок X-XSS-Protection: 0 и посмотреть что будет

Написано более трёх лет назад

3 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+2 ещё

Средний
Как сделать так, чтобы при нажатии по div работал onclick?
- 1 подписчик
- 15 минут назад
- 10 просмотров
0

ответов
JavaScript

+1 ещё

Средний
Как сделать программную навигацию без изменения url в vue-router + vue3?
- 1 подписчик
- 11 часов назад
- 27 просмотров
0

ответов
JavaScript

+1 ещё

Простой
Three.js объект сзади не виден при повороте к нему лицом?
- 2 подписчика
- 14 часов назад
- 198 просмотров
1

ответ
JavaScript

+2 ещё

Простой
Как скачать pdf из встроенного просмотрщика на сайте?
- 1 подписчик
- 17 часов назад
- 115 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Как построение маршрута на 2GIS API v2.0?
- 1 подписчик
- 18 часов назад
- 46 просмотров
0

ответов
Веб-разработка

+1 ещё

Простой
Как работает спам сообщений в ютубе?
- 1 подписчик
- 20 часов назад
- 95 просмотров
2

ответа
JavaScript

Средний
Эффект наложения блоков?
- 1 подписчик
- вчера
- 108 просмотров
2

ответа
JavaScript

+2 ещё

Средний
Как изменить содержание блока програмно со свойством contentEditable?
- 1 подписчик
- вчера
- 84 просмотра
0

ответов
JavaScript

+4 ещё

Средний
Как сделать правильное динамическое масштабирование ion-range в зависимости от ширины колонок линии со значениями?
- 1 подписчик
- вчера
- 45 просмотров
0

ответов
JavaScript

Простой
Как после сабмита очистить поле type="tel" и показать очищенную маску?
- 2 подписчика
- вчера
- 69 просмотров
0

ответов
Показать ещё Загружается…

JavaScript разработчик

SummerWeb • Ярославль

от 100 000 до 140 000 ₽

JavaScript разработчик

вАйТи

от 5 000 до 25 000 ₽

JavaScript Fullstack

OnClass

от 200 000 до 600 000 ₽

Разработать HLTV HUD для стрима CS 1.6

25 апр. 2024, в 08:02

2500 руб./за проект

Вычислить размер объекта по карте глубин

25 апр. 2024, в 07:37

5000 руб./за проект

Спарсить TON PLACE: скрейпинг фото и текста с анкет по списку URL

25 апр. 2024, в 05:57

3000 руб./за проект

Answer 1 · 2017-09-05 13:29:08

Есть такой заголовок как X-XSS-Protection, который управляет защитой от XSS. Про этот и другие заголовки читайте тут https://habrahabr.ru/post/317720/

Answer 2 · 2017-09-05 13:24:33

Браузеры не предоставляют такую защиту. Разработчик сам должен заботиться об экранировании вывода пользовательских данных.

Answer 3 · 2017-09-05 18:38:49

Антон Иванов @karminski

Senior React.JS Developer

Рекомендую https://bbs.ptsecurity.com/ru

Ответ написан более трёх лет назад

Комментировать

Answer 4 · 2017-09-06 11:40:35

Дмитрий @Dit81

Security researcher, pentester, internet-marketer

Используйте Burp Suite!

Ответ написан более трёх лет назад

Комментировать

Answer 5 · 2018-07-12 00:51:39

Йоу.
Основная причина возникновения XSS - отсутствие фильтрации пользовательского ввода на (&, <, >, ", ')

Большинство современных ORM, шаблонизаторов в языках выполняют эскейпинг пользовательских данных, что должно защищать от XSS. К сожалению часто разработчики выключают эти проверки руками.
Смотри этот полный читщит https://www.owasp.org/index.php/XSS_(Cross_Site_Sc...

Кстати, я один из разработчиков сканера уязвимостей, в том числе и XSS - https://metascan.ru

А как вы проверяете уязвимости на сайте XSS атак?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт