Wie kann der XSS-Schutz in modernen Browsern zum Testen vorübergehend deaktiviert werden?

Lesezeit: 3 Minuten

Ist es möglich, den XSS-Schutz in modernen Browsern zu Testzwecken vorübergehend zu deaktivieren?

Ich versuche einem Kollegen zu erklären, was passiert, wenn man dies an ein XSS-anfälliges Webformular sendet:

<script>alert("Danger");</script>

Es scheint jedoch, dass sowohl Chrome als auch Firefox das XSS-Popup verhindern. Kann ich diesen Schutz deaktivieren, damit ich die Ergebnisse meiner Aktionen vollständig sehen kann?

  • Ich glaube nicht, dass irgendein Browser dieses Skript blockieren würde, falls es wirklich als Teil des vom Server gesendeten HTML-Codes bereitgestellt wird.

    – Dreieck

    17. Oktober 2012 um 4:20 Uhr

  • @Delta Der Browser blockiert es normalerweise, wenn es vom Benutzer gesendet und auch vom Server zurückgegeben wird, nicht wenn es nur vom Server gesendet wird. z.B MyPage.aspx?id=<script>alert('s');</alert> als Anfrage gesendet, aber wenn ein Teil des Codes in der Antwort als Skript erscheint, kann er vom Browser blockiert (dh nicht ausgeführt) werden.

    – SilberlichtFuchs

    18. Oktober 2012 um 11:13 Uhr

Benutzer-Avatar
Zachary K

In Chrome gibt es ein Flag, mit dem Sie den Browser starten können. Wenn Sie den Browser mit diesem Flag starten, können Sie tun, was Sie wollen:

--disable-web-security 

  • @Zachary K: Gilt das nur für Chromium? Vielleicht nicht mehr möglich? productforums.google.com/forum/#!topic/chrome/r-QGNb0MACo

    – richardkmiller

    31. Oktober 2012 um 22:57 Uhr


  • In Chrome 65.0.3325.181: „Sie verwenden ein nicht unterstütztes Befehlszeilen-Flag: –disable-web-security.” Der XSS-Auditor ist nicht deaktiviert. --disable-xss-auditor wird noch unterstützt und funktioniert.

    – Franklin Yu

    2. April 2018 um 14:56 Uhr

Zur Bequemlichkeit derer die es nicht wissen….

“C:\Programme (x86)\Google\Chrome\Application\chrome.exe” –args –disable-web-security

Verwenden Sie das Obige als Pfad der Verknüpfung

  • Dies funktioniert nur, wenn alle Chrome-Instanzen geschlossen sind, bevor Chrome mit diesen Befehlen gestartet wird. Siehe stackoverflow.com/questions/17679399/…

    – Timo002

    29. Oktober 2013 um 11:08 Uhr

Wenn Sie XSS nur deaktivieren möchten, sollten Sie verwenden --disable-xss-auditor. Ein vollständiges Argument wäre so etwas wie:

“C:\Programme (x86)\Google\Chrome\Application\chrome.exe” –disable-xss-auditor

Stellen Sie sicher, dass alle chrome.exe-Prozesse beendet werden, bevor Sie den Befehl ausführen, sonst hat er keine Wirkung. Sie können auch mehr Argumente übergeben, wenn Sie möchten, zum Beispiel verwende ich oft ein Proxy-Argument, weil ich keinen Proxy für mein gesamtes System aktivieren möchte.

“C:\Programme (x86)\Google\Chrome\Application\chrome.exe” –disable-xss-auditor –proxy-server=127.0.0.1:8080

Sie können den Benutzer beim Absenden des Formulars auf eine andere lokale Webseite umleiten und die infizierten Daten ausdrucken. Chrome erkennt das nicht.

Hinweis: Sie können Sitzungen / Cookies verwenden, um die infizierten Daten zwischen den 2 Seiten zu speichern.

Beispiel in PHP:

index.php

<?php    
    setcookie('infected', $_POST['infected']);

    if($_POST['infected'])
        header('location: show.php');
?>

<form action="index.php" method="POST" />
    <p>
        Username: <input type="text" name="infected" />
        <input type="submit" value="Add Comment" />
    </p>
</form>

zeigen.php

echo $_COOKIE['data'];

Ist die Verwendung des Disable-Arguments vorübergehend? In begrenzten Tests scheint es dauerhaft zu sein. XSS-Auditor bleibt deaktiviert in Chrome-Fenstern ohne xss-Auditor-Argument gestartet. Verwenden Sie zum Wiedereinschalten “C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –enable-xss-auditor

Benutzer-Avatar
Erich

Ich weiß, dass dies das Problem nicht behebt, aber möglicherweise ist vorerst nur eine Nachricht auf den Websites erforderlich, bis Google es behebt. so etwas wie “Wenn Sie Chrome verwenden, können Sie feststellen, dass ….”. Ich habe festgestellt, dass der Inhalt tatsächlich in die Datenbank gelangt, obwohl ich den Fehlerbildschirm erhalte. Ich habe gerade zurückgeklickt, um wieder auf die Website zu gelangen. Gehen Sie dann zum Dashboard und es ist da. Ärgerlich, aber eine Umgehung, die keine Websites zurücksetzen muss.

1159590cookie-checkWie kann der XSS-Schutz in modernen Browsern zum Testen vorübergehend deaktiviert werden?

This website is using cookies to improve the user-friendliness. You agree by using the website further.

Privacy policy