Таким чином, використовуйте цей приклад для виявлення XSS-уразливість, але при складанні звіту подумайте про потенційну шкоду, яку може завдати вразливість і поясніть його. Під цим я не маю на увазі розповідь компанії про те, що ж таке XSS, але пропоную пояснити, чого ви можете добитися, використовуючи вразливість і як конкретно це могло відбитися на їхньому сайті.
Існує три різних види XSS, про які ви могли чути при дослідженні та написанні звітів:
- Reflective XSS: ці атаки не зберігаються на сайті, що означає створення і виконання XSS в одному запиті і відповіді.
- Stored XSS: ці атаки зберігаються на сайті і часто більш небезпечні. Вони зберігаються на сервері і виконуються на "нормальних" сторінках нічого не підозрюють користувачами.
- Self XSS: ці атаки також не зберігаються на сайті і зазвичай використовуються як частина обману людини з метою запуску XSS їм самім.Когда ви шукаєте уразливості, ви виявите, що компанії часто не піклуються про усунення Self XSS, вони турбуються тільки про ті випадки, коли шкода їх користувачам може бути завдано не ними самими, а ким-небудь ще, як у випадку з Reflective і Stored XSS. Однак, це не означає, що ви не повинні шукати Self XSS.
Якщо ви знайшли ситуацію, в якій Self XSS може бути виконаний, але не збережено, подумайте про те, як може бути використана ця вразливість, чи зможете ви використовувати її в комбінації з чим-небудь, щоб вона вже не була Self XSS?
Хоча приклад Самі був відносно нешкідливим, використання XSS дозволяє красти логіни, паролі, банківську інформацію, і так далі. Незважаючи на потенційну шкоду, виправлення XSS-вразливостей, як правило, не є складним і вимагає від розробників просто екранувати користувача введення (прямо як в HTML-ін'єкції) при його відображенні. Хоча, деякі сайти так само прибирають потенційно шкідливі символи, коли хакер їх відряджає.
1. Розпродаж Shopify
Сайт розпродажі Shopify27 є простою сторінкою з прямим закликом до дії - введіть назву товару і натисніть "Find Products". Ось скріншот:
Скріншот сайту розпродажів wholesale
2. Кошик подарункових карт Shopify
Сайт магазину подарункових карт Shopify29 дозволяє користувачам створювати власне оформлення для подарункових карт за допомогою HTML-форми, що включає в себе віконце завантаження файлу, кілька рядків для введення тексту деталей, і так далі. Ось скріншот:
Скріншот форми магазину подарункових карт Shopify