Jak wytłumaczyć co to jest XSS – czyli wykonanie groźnego kodu JS w obrębie naszej domeny? #od0dopentestera
Jeżeli rozmawiasz z biznesem możesz skupić się na skutkach, jakie niesie tego rodzaju podatność.
Jednym z pomysłów może być opisanie działania XSS worm, który podobnie jak wirus w normalnym świecie próbuje zarazić jak największą liczbę użytkowników.
Jak to działa?
1. Załóżmy, że na FB znajduje się podatność reflected XSS – czyli każda osoba, która kliknie w odpowiednio spreparowany odnośnik, uruchomi na swoim koncie złośliwy kod JS.
2. Jest to groźne – ale tylko dla osoby, która weszła w taki link. Musi on zostać do niej jakoś przesłany (na przykład poprzez czat) a następnie musi w niego kliknąć.
3. Jeżeli jednak mamy do czynienia z robakiem – złośliwy kod pobierze listę wszystkich kontaktów zarażonej osoby i roześle do nich samego siebie (czyli prześle do naszych znajomych złośliwy odnośnik).
4. Jeżeli znajomy kliknie w taki link od nas – zostanie zarażony, a tym samym zacznie zarażać innych.
5. W taki oto sposób podatność może się rozejść na wszystkich użytkowników platformy w szybkim czasie.
Jeżeli chciałbyś posłuchać o innych skutkach cross site scripting:
– Zobacz film na YouTube
– Przeczytaj materiał na blogu
– Posłuchaj podcastu na Spotify, Google Podcast lub Apple Podcast
Subskrybuj kanał na YouTube
Chcesz otrzymywać takie materiały na swój email? Dołącz do newslettera.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
#firma #biznes #polska #gruparatowaniapoziomu #ciekawostki #informatyka #security #programowanie #programista15k