Testing for Cross site scripting with XSStrike
XSStrike is a good tool to help you find the cross site scripting (XSS) on the web application, it’s really simple and easy to use.
XSStrike is a good tool to help you find the cross site scripting (XSS) on the web application, it’s really simple and easy to use.
Đây là một lỗi mình vô tình phát hiện hồi tháng 09/2016, chưa có thời gian để đi sâu hơn xem nó có thể khai thác để tấn công đến mức nào hay chỉ là Self-XSS, tuy nhiên cũng muốn chia sẻ cách mình thực hiện để tìm ra lỗi này.
This is a list of strings that can be used for XSS testing and bypass filter.
Vừa rồi tôi có đọc một bài viết trên Tuổi trẻ với nội dung Lozi.vn nhận đầu tư triệu đô nên cũng tò mò muốn xem trang web của họ thế nào, nhưng có vẻ Lozi cũng chưa quan tâm nhiều đến bảo mật web, họ không dùng bất kỳ bộ lọc dữ liệu nào để ngăn chặn XSS.
Sau khi nhận được email thông báo lỗi XSS của tôi, Tiki có sửa lỗi nhưng hiện tại lỗi XSS trên Tiki vẫn có thể vượt qua bộ lọc để khai thác tiếp. Đây là chi tiết cách tôi đã Bypass XSS filters trên Tiki.
Hôm nay mình sẽ demo về một lỗ hổng đang có trên trang Tiki.vn có thể cho phép hacker chiếm lấy tài khoản người dùng thông qua lỗi XSS. Hôm trước mình có lên web Tiki để xem sản phẩm, là tester nên cũng có chút bệnh nghề nghiệp nên sẵn tiện mình kiểm tra sơ qua xem trang web có lỗi gì không, kết quả là phát hiện ra một lỗi khá thú vị về XSS này.