Задать вопрос
tremo0880
@tremo0880
Inf.Sec

Как обойти firefox xss protection которая кодирует URL и предотвращает запуск XSS?

Добрый день!
Изучаю разновидности xss. Сейчас остановился на XSS DOM.
Тестирую все на обновленной dvwa(Damn Vulnerable Web Application).

Большинство браузеров энкодят строку url и мне не удаётся прописать javascript в url-e как это делал раньше. Мой запрос преобразовывается в:
www.xss/com/default=123%253Cscript%253Ealert('XSS')%253C%252Fscript%253E


Подсказка:
Не нужно ничего делать на стороне сервера т.к. защитный механизм находится на клиентской стороне.

Посоветуйте методы эксплуатации или же в каком направление двигаться?
  • Вопрос задан
  • 1177 просмотров
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 2
@HANEFEKO
Попробуйте применить смешанный обфусцированный xss-payload.
Ответ написан
@Xrizolin
Привет. Если используешь Chrome, то это XSS-аудитор.
Рекомендую почитать блог Brute на эту тему: https://brutelogic.com.br/blog/chrome-xss-bypass/

Также можешь попробовать https://metascan.ru для автоматического поиска XSS в проекте.

UPD: Актуальные байпасы для XSS-аудитора
https://github.com/EdOverflow/bugbounty-cheatsheet...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы