Wie kann der XSS-Schutz in modernen Browsern zum Testen vorübergehend deaktiviert werden?
Lesezeit: 3 Minuten
Ist es möglich, den XSS-Schutz in modernen Browsern zu Testzwecken vorübergehend zu deaktivieren?
Ich versuche einem Kollegen zu erklären, was passiert, wenn man dies an ein XSS-anfälliges Webformular sendet:
<script>alert("Danger");</script>
Es scheint jedoch, dass sowohl Chrome als auch Firefox das XSS-Popup verhindern. Kann ich diesen Schutz deaktivieren, damit ich die Ergebnisse meiner Aktionen vollständig sehen kann?
Ich glaube nicht, dass irgendein Browser dieses Skript blockieren würde, falls es wirklich als Teil des vom Server gesendeten HTML-Codes bereitgestellt wird.
– Dreieck
17. Oktober 2012 um 4:20 Uhr
@Delta Der Browser blockiert es normalerweise, wenn es vom Benutzer gesendet und auch vom Server zurückgegeben wird, nicht wenn es nur vom Server gesendet wird. z.B MyPage.aspx?id=<script>alert('s');</alert> als Anfrage gesendet, aber wenn ein Teil des Codes in der Antwort als Skript erscheint, kann er vom Browser blockiert (dh nicht ausgeführt) werden.
– SilberlichtFuchs
18. Oktober 2012 um 11:13 Uhr
Zachary K
In Chrome gibt es ein Flag, mit dem Sie den Browser starten können. Wenn Sie den Browser mit diesem Flag starten, können Sie tun, was Sie wollen:
In Chrome 65.0.3325.181: „Sie verwenden ein nicht unterstütztes Befehlszeilen-Flag: –disable-web-security.” Der XSS-Auditor ist nicht deaktiviert. --disable-xss-auditor wird noch unterstützt und funktioniert.
Dies funktioniert nur, wenn alle Chrome-Instanzen geschlossen sind, bevor Chrome mit diesen Befehlen gestartet wird. Siehe stackoverflow.com/questions/17679399/…
– Timo002
29. Oktober 2013 um 11:08 Uhr
Wenn Sie XSS nur deaktivieren möchten, sollten Sie verwenden --disable-xss-auditor. Ein vollständiges Argument wäre so etwas wie:
Stellen Sie sicher, dass alle chrome.exe-Prozesse beendet werden, bevor Sie den Befehl ausführen, sonst hat er keine Wirkung. Sie können auch mehr Argumente übergeben, wenn Sie möchten, zum Beispiel verwende ich oft ein Proxy-Argument, weil ich keinen Proxy für mein gesamtes System aktivieren möchte.
Sie können den Benutzer beim Absenden des Formulars auf eine andere lokale Webseite umleiten und die infizierten Daten ausdrucken. Chrome erkennt das nicht.
Hinweis: Sie können Sitzungen / Cookies verwenden, um die infizierten Daten zwischen den 2 Seiten zu speichern.
Ist die Verwendung des Disable-Arguments vorübergehend? In begrenzten Tests scheint es dauerhaft zu sein. XSS-Auditor bleibt deaktiviert in Chrome-Fenstern ohne xss-Auditor-Argument gestartet. Verwenden Sie zum Wiedereinschalten “C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –enable-xss-auditor
Erich
Ich weiß, dass dies das Problem nicht behebt, aber möglicherweise ist vorerst nur eine Nachricht auf den Websites erforderlich, bis Google es behebt. so etwas wie “Wenn Sie Chrome verwenden, können Sie feststellen, dass ….”. Ich habe festgestellt, dass der Inhalt tatsächlich in die Datenbank gelangt, obwohl ich den Fehlerbildschirm erhalte. Ich habe gerade zurückgeklickt, um wieder auf die Website zu gelangen. Gehen Sie dann zum Dashboard und es ist da. Ärgerlich, aber eine Umgehung, die keine Websites zurücksetzen muss.
11595900cookie-checkWie kann der XSS-Schutz in modernen Browsern zum Testen vorübergehend deaktiviert werden?yes
Ich glaube nicht, dass irgendein Browser dieses Skript blockieren würde, falls es wirklich als Teil des vom Server gesendeten HTML-Codes bereitgestellt wird.
– Dreieck
17. Oktober 2012 um 4:20 Uhr
@Delta Der Browser blockiert es normalerweise, wenn es vom Benutzer gesendet und auch vom Server zurückgegeben wird, nicht wenn es nur vom Server gesendet wird. z.B
MyPage.aspx?id=<script>alert('s');</alert>
als Anfrage gesendet, aber wenn ein Teil des Codes in der Antwort als Skript erscheint, kann er vom Browser blockiert (dh nicht ausgeführt) werden.– SilberlichtFuchs
18. Oktober 2012 um 11:13 Uhr