Voici le résultat des tests avec "XSS Me" sur l'exercice "Reflected XSS attacks" de Webgoat:
On découvre que le champ "field1" est faillible.
L'inconvénient de la démarche automatisée est que de nombreux "faux-positifs" peuvent apparaître. Les outils automatisés ne sont généralement pas capables de détecter si la validation des paramètres est réalisée ou non.
L'approche manuelle est plus précise. Vous pouvez pour cela utiliser le script suivant:
Il suffit alors de saisir ce script dans les champs à tester. Si vous obtenez le pop-up ci-dessous alors le champ testé est faillible.
Il ne vous reste plus qu'à développer votre attaque en écrivant le script de votre choix. Vous trouverez un tutorial JavaScript sur le site:
http://www.w3schools.com/JS/default.asp
Par ailleurs vous trouverez les vidéos décrivant les solutions des exercices de Webgoat sur le site:
http://yehg.net/lab/pr0js/training/webgoat.php
Vous y trouverez également des scripts équivalents à ceux utilisés pendant le séminaire.
Aucun commentaire:
Enregistrer un commentaire