1. 首页
  2. 问答
  3. 浏览器URL编码XSS攻击是否易受攻击?

浏览器URL编码XSS攻击是否易受攻击?

2014-03-12 263 views
1

我正在使用Burp Tool和Firefox。浏览器URL编码XSS攻击是否易受攻击?

这是攻击。

http://localhost/xssWebsite/?aParameter=<script>alert('XSS');</script>

我以两种方式执行此攻击。

  • 使用Burp Suite转发器工具。

    GET/xssWebsite /?aParameter =包含<script>alert('XSS');</script>

    其他HTTP头。

    响应取出包含<script>alert('XSS');</script>

  • 当我试图实现使用Firefox相同。

    Firefox在发送请求之前对URL进行编码,因此响应还包含未执行的编码脚本。

我们可以使用打嗝等工具来利用这种类型的xss攻击吗?

来源

2014-03-12 harvey123

+0

如果burp发送请求,您将如何获得JavaScript引擎来解析响应正文? – David

+0

所以这类攻击不是脆弱的。 – harvey123

回答

0

您的Firefox版本正在对请求进行编码,但旧版本或其他浏览器又如何?底线是,如果你已经找到了XSS,那么它如何被利用并不重要,它只需要被修复。

来源

2015-08-26 08:04:31 DomBat

0

即使您禁用了XSS过滤器,新浏览器也已经对URL进行了编码,但这些“”仍然被编码。

为了做你的发现的POC喜欢弹出一个警告框,你可以使用旧的浏览器。

您还可以使用IETester,并使用IE6标签进行模拟。请注意IEtester中的警报框可能不工作,您可以使用“确认”代替

来源

2016-01-12 09:33:52 orbulat

0

使用代理工具(如Burp Suite)并通过截取请求来更改参数。

来源

2016-10-18 16:19:19 hax

相关问题

 相关问题