{"id":3810,"date":"2020-10-14T11:25:00","date_gmt":"2020-10-14T11:25:00","guid":{"rendered":"http:\/\/the-codest.localhost\/blog\/web-app-security-xss-vulnerability\/"},"modified":"2026-04-27T10:24:05","modified_gmt":"2026-04-27T10:24:05","slug":"bezpieczenstwo-aplikacji-webowych-luka-xss","status":"publish","type":"post","link":"https:\/\/thecodest.co\/pl\/blog\/web-app-security-xss-vulnerability\/","title":{"rendered":"Bezpiecze\u0144stwo aplikacji webowych - luka XSS"},"content":{"rendered":"

Scenariusz ataku<\/h2>\n\n\n\n
    \n
  1. Atakuj\u0105cy lokalizuje luk\u0119 XSS na stronie internetowej u\u017cywanej przez ofiar\u0119, np. na stronie banku<\/li>\n\n\n\n
  2. Ofiara jest obecnie zalogowana na tej stronie<\/li>\n\n\n\n
  3. Atakuj\u0105cy wysy\u0142a ofierze spreparowany adres URL<\/li>\n\n\n\n
  4. Ofiara klika adres URL<\/li>\n\n\n\n
  5. Na ofierze bank<\/a> strona internetowa, JavaScript<\/a> kod<\/a> rozpoczyna wykonywanie w celu przechwycenia polecenia u\u017cytkownika dane<\/a> lub wykona\u0107 przelew w jego imieniu na konto atakuj\u0105cego<\/li>\n<\/ol>\n\n\n\n

    Warto zauwa\u017cy\u0107, \u017ce operacje wykonywane w imieniu ofiary mog\u0105 by\u0107 dla niej niewidoczne, poniewa\u017c mog\u0105 odbywa\u0107 si\u0119 w tle z wykorzystaniem API<\/a>, lub atakuj\u0105cy mo\u017ce wykona\u0107 je p\u00f3\u017aniej z danymi potrzebnymi do uwierzytelnienia, tokenami, plikami cookie itp.<\/p>\n\n\n\n

    Typy XSS<\/h2>\n\n\n\n

    1. Odbity XSS <\/h3>\n\n\n\n

    Jest to taki, w kt\u00f3rym kod HTML\/JavaScript zawarty w dowolnym parametrze (np. GET, POST lub cookie) jest wy\u015bwietlany w odpowiedzi.<\/p>\n\n\n\n

    Strona z wej\u015bciem tekstowym do wyszukiwania czego\u015b, co umieszcza parametr search=foo<\/code> w ko\u0144c\u00f3wce adresu URL podczas odpytywania API. Po wpisaniu dowolnej frazy, je\u015bli nie zostanie ona odnaleziona, zostanie wy\u015bwietlony komunikat zwrotny w formacie HTML.<\/p>\n\n\n\n

    <div>Nie znaleziono wyników dla <b>foo<\/b><\/div><\/code><\/pre>\n\n\n\n
    Mo\u017cemy spr\u00f3bowa\u0107 wpisa\u0107 adres URL search=.<\/code>..<\/p>\n\n\n\n
    2.DOM XSS <\/h3>\n\n\n\n
    Dzieje si\u0119 tak, gdy jego wykonanie jest w\u0142\u0105czone przez u\u017cycie niebezpiecznych funkcji w JavaScript, takich jak `eval`<\/code> lub `innerHtml`<\/code>. Poni\u017cszy \"Przyk\u0142ad na \u017cywo\" pokazuje atak DOM XSS oparty na funkcji `innerHtml`<\/code> funkcja.<\/p>\n\n\n\n
    3. Przechowywane XSS <\/h3>\n\n\n\n
    Jest to sytuacja, w kt\u00f3rej z\u0142o\u015bliwy kod zostaje napisany po stronie serwera. Na przyk\u0142ad, mo\u017cemy wys\u0142a\u0107 komentarz ze z\u0142o\u015bliwym kodem do wpisu na blogu, kt\u00f3ry jest przesy\u0142any na serwer. Jego zadaniem jest na przyk\u0142ad oczekiwanie na moderacj\u0119 administratora, a nast\u0119pnie kradzie\u017c jego danych sesji itp.<\/p>\n\n\n\n
    Metody wtrysku<\/h2>\n\n\n\n
    1. W tre\u015bci znacznika<\/p>\n\n\n\n
    `onerror=alert('XSS')`<\/code>do<\/p>\n\n\n\n
    <img src onerror="alert('XSS')" \/><\/code><\/pre>\n\n\n\n
    2. W tre\u015bci atrybutu<\/p>\n\n\n\n
    `\" onmouseover=alert('XSS')`<\/code> do<\/p>\n\n\n\n
    <div class="" onmouseover="alert('XSS')""><\/div><\/code><\/pre>\n\n\n\n
    <\/p>\n\n\n\n
      \n
    1. W tre\u015bci atrybutu bez cudzys\u0142ow\u00f3w<\/li>\n<\/ol>\n\n\n\n
      x onclick=alert('XSS')<\/code>do<\/p>\n\n\n\n
      <div class="x" onclick="alert('XSS')"><\/div><\/code><\/pre>\n\n\n\n
      <\/p>\n\n\n\n
        \n
      1. W href<\/code>atrybut ef<\/li>\n<\/ol>\n\n\n\n
        javascript:alert('XSS')<\/code> do<\/p>\n\n\n\n
        <a href="javascript:alert('XSS')"><\/a><\/code><\/pre>\n\n\n\n
        <\/p>\n\n\n\n
          \n
        1. W ci\u0105gu wewn\u0105trz kodu JavaScript<\/li>\n<\/ol>\n\n\n\n
          \";alert('XSS')\/\/.<\/code> do<\/p>\n\n\n\n
          .<\/code><\/pre>\n\n\n\n
            \n
          1. W atrybucie ze zdarzeniem JavaScript<\/li>\n<\/ol>\n\n\n\n
            ');alert('XSS')\/\/.<\/code> gdzie '<\/code> jest pojedynczym cudzys\u0142owem, w<\/p>\n\n\n\n
            <div onclick="change('&#39;);alert('XSS')\/\/')">John<\/div><\/code><\/pre>\n\n\n\n
            <\/p>\n\n\n\n
              \n
            1. W href<\/code> atrybut wewn\u0105trz protoko\u0142u JavaScript<\/li>\n<\/ol>\n\n\n\n
              );alert(1)\/\/.<\/code> gdzie %27<\/code> jest pojedynczym cudzys\u0142owem, w<\/p>\n\n\n\n
              <a href="javascript:change('%27);alert(1)\/\/')">klikni\u0119cie<\/a><\/code><\/pre>\n\n\n\n

               <\/code><\/p>\n\n\n\n
              Przyk\u0142ad na \u017cywo<\/h3>\n\n\n\n
              \n