Tässä moduulissa harjoitellaan XSS-haavoittuvuuksien tunnistamista ja hyväksikäyttöä. Lue tehtävänanto ja käytä aiemmissa moduuleissa opittuja taitoja ratkoaksesi tehtävän.

Pakota järjestelmänvalvoja vaihtamaan salasanansa ja kirjaudu sisään järjestelmänvalvojana!

Tässä tehtävässä käytämme hyväksi XSS-haavoittuvuutta ja kaappaamme järjestelmänvalvojan istunnon. Sovellus poikkeaa muista siten, että se suojelee evästeitä HttpOnly direktiivillä tarkoittaen, ettei evästeitä voi käsitellä JavaScript-koodista käsin!

XSS-HTTPONLY-1

Etsi sovelluksessa oleva XSS-haavoittuvuus ja ratkaise tehtävä vaaditulla tavalla. Admin-käyttäjän sähköpostiosoite on admin@ha-target.com.

XSS vs HttpOnly

Opi löytämään ja hyväksikäyttämään haavoittuvuutta joka on yksi kaikista yleisimmistä haavoittuvuuksista, helpohko löytää, ja siitä huolimatta hyvin vaarallinen. Hackerone rankkasi XSS:n #1 bug bounty -haavoittuvuudeksi 2021.

XSS (Cross-Site Scripting) haavoittuvuudet ovat sekä yleisiä että vakavia. Esimerkiksi HackerOne on listannut XSS:n ensimmäiseksi top 10 haavoittuvuudet listallaan.

Haavoittuvuuden läpikohtainen hallitseminen on siis erittäin tärkeää, olit sitten murtotestaaja, tietoturvakonsultti, kehittäjä tai bounty hunteri!

Perusteet haltuun

Mitä ovat Cross-Site Scripting -haavoittuvuudet?

Intro

Stored XSS ja istuntoevästeiden varastaminen

XSS vs HttpOnly

XSS-HTTPONLY-1

Tavoite

Tehtävät

Flag

Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.

XSS vs HttpOnly

XSS-HTTPONLY-1

Tavoite

Tehtävät

Flag

Valmis ryhtymään eettiseksi hakkeriksi?Aloita jo tänään.

Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.