Сліпі XSS
22:49 25.03.2013Продовжуючи розпочату традицію, після попереднього відео про взлом мережі за 60 секунд, пропоную нове відео на веб секюріті тематику. Цього разу відео про сліпі XSS. Рекомендую подивитися всім хто цікавиться цією темою.
Торік на конференції DEFCON 20 відбувся виступ Adam Baldwin. В своєму виступі він розповів про Cross-Site Scripting, про його підкласи і, зокрема, про такий різновид persistent XSS як сліпі XSS. Сам я не вживаю такого терміну і всі persistent XSS називаю persistent (хоча раніше і ввів термін per-user persistent XSS, для відокремлення від звичайних постійних XSS таких, що спрацьовують не для всіх користувачів, а лише для поточної сесії користувача, тобто близькі за природою до reflected XSS). Адам вирішив вжити термін “blind XSS” для виділення окремої категорії постійних XSS. І детально розповів про них у своїй доповіді.
Сліпі XSS - це ті уразливості, де одразу немає виконання коду (це в першу чергу стосується тих XSS, що знаходяться в адмінках або акаунтах, куди нападник немає доступу). Це дуже поширена частина постійних XSS. В своїй практиці серед persistent XSS я більше стикався саме зі сліпими, ніж звичайними (й першою Cross-Site Scripting, яку я дослідив, була саме сліпа постійна XSS).
Адам продемонстрував свою платформу xss.io призначену для експлуатації XSS уразливостей. Рекомендую подивитися дане відео для розуміння векторів атак через уразливості у веб додатках.