Write-up zur Beef Challenge

Aufgabenstellung

Es soll XSS und Beef getestet werden.

Umsetzung

  • Im Rating Textfeld kann Code eingeschleust werden. Wir schleusen dort den beef hook.js ein, die das Opfer beim ansurfen der Website ausführt.
  • Im Anschluss kann in der Beef Console Commandos abgesetzt werden, die das Opfer dann ausführt.

Beseitigung der Schwachstelle

  • Eine CSP kann helfen, damit das Opfer gar keine Verbindung zur hook.js Datei macht. Das beseitigt die Vulnerability nicht.
  • Eine WAF kann helfen, solche Versuche zu erkennen (beseitigt aber die Vulnerability nicht)
  • User Input muss immer escaped / sanitized werden (Html Entities), damit er nicht ausgeführt wird.
Zurück
Weiter