Задать вопрос
tremo0880
@tremo0880
Inf.Sec
информационная-безопасность

Как обойти firefox xss protection которая кодирует URL и предотвращает запуск XSS?

Добрый день!
Изучаю разновидности xss. Сейчас остановился на XSS DOM.
Тестирую все на обновленной dvwa(Damn Vulnerable Web Application).

Большинство браузеров энкодят строку url и мне не удаётся прописать javascript в url-e как это делал раньше. Мой запрос преобразовывается в:
www.xss/com/default=123%253Cscript%253Ealert('XSS')%253C%252Fscript%253E


Подсказка:
Не нужно ничего делать на стороне сервера т.к. защитный механизм находится на клиентской стороне.

Посоветуйте методы эксплуатации или же в каком направление двигаться?
  • Вопрос задан
  • 1166 просмотров
Комментировать
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 2
@HANEFEKO
Попробуйте применить смешанный обфусцированный xss-payload.
Ответ написан
1 комментарий
1 комментарий
@Xrizolin
Привет. Если используешь Chrome, то это XSS-аудитор.
Рекомендую почитать блог Brute на эту тему: https://brutelogic.com.br/blog/chrome-xss-bypass/

Также можешь попробовать https://metascan.ru для автоматического поиска XSS в проекте.

UPD: Актуальные байпасы для XSS-аудитора
https://github.com/EdOverflow/bugbounty-cheatsheet...
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Анимация логотипа
24 апр. 2024, в 00:08
20000 руб./за проект
Разработка дизайна раздела «Статьи» на сайте «Мир отходов»
23 апр. 2024, в 23:01
10000 руб./за проект
Дизайн личного кабинета (клиентская часть)
23 апр. 2024, в 22:37
500 руб./в час
Ещё заказы