XSS - Cross Site Scripting
Thema 2 Benoist
Thema 2 Benoist
Kartei Details
| Karten | 8 |
|---|---|
| Sprache | Deutsch |
| Kategorie | Informatik |
| Stufe | Universität |
| Erstellt / Aktualisiert | 31.01.2019 / 31.01.2019 |
| Lizenzierung | Keine Angabe |
| Weblink |
https://card2brain.ch/box/20190131_xss_cross_site_scripting
|
| Einbinden |
<iframe src="https://card2brain.ch/box/20190131_xss_cross_site_scripting/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Welche Arten von XSS gibt es?
Stored
Reflected
DOM based
Was ist die Ursache von XSS, wie kommt es dazu?
Was kann modifiziert werden?
- User kann Code injecten
- change the dom, send cookies via js to other sites
Wie funktioniert Stored XSS? Wo werden die Daten gespeichert?
Wem werden diese Daten dann präsentiert?
Nenne ein Bsp.?
- malicious code wird von der website angenommen und gespeichert, z.B. in einem File, DB oder backend system
- jedem der die Website besucht
- Blogs, Forums, CMS
Wie kann der User auf elemente des DOM zugreifen? Wie manipuliert er dies?
mittels document.getElementById()
Wie äussert sich reflected XSS? Wie funktioniert es? Welche Parameter lösen dies aus?
- Eine Page wird den User input direkt an den user geben. z.b. echo $_REQUEST['userinput'];
- Wenn die URL GET Parameter enthält und diese ausgewertet werden.
Was wird beim DOM Based XSS exploited? Wie unterscheidet es sich zu den anderen beiden Attack Szenarien?
Es wird lokal das dom des browsers manipuliert
wird nicht auf den server gespeichert oder reflected
Was kann beim DOM Manipulieren alles gemacht werden?
Und mit welcher Sprache?
- neue Nodes erstellen, Nodes löschen, modifizieren
- javascript
Was schützt vor Zugriffen auf andere websiten?
- Same origin policy
