cross-site-scripting-and-html-injection-testing

Umiejętność do kompleksowego testowania podatności typu cross-site scripting (XSS) i HTML injection w aplikacjach webowych. Pozwala na systematyczne wykrywanie i demonstrację ataków na podstawie przechowywanych, odzwierciedlonych i DOM-based wektorów ataku. Generuje raporty z klasyfikacją ważności, proof-of-concept payloady oraz rekomendacje naprawcze z konfiguracją Content Security Policy. Wymaga autoryzacji do testów bezpieczeństwa i dostępu do narzędzi analitycznych takich jak Burp Suite.

1. Przygotuj środowisko testowe: upewnij się, że masz dostęp do docelowej aplikacji webowej z polami do wprowadzania danych, zainstaluj Burp Suite lub otwórz narzędzia deweloperskie przeglądarki, utwórz konta testowe do testowania stored XSS oraz włącz konsolę JavaScript w przeglądarce.

2. Zweryfikuj wymagania prawne: uzyskaj pisemną autoryzację do przeprowadzenia testów bezpieczeństwa, zdefiniuj zakres testów obejmujący domeny i funkcje, które będą testowane, oraz upewnij się, że masz procedury obsługi przechwyconych danych sesji.

3. Zapoznaj się z wymaganą wiedzą techniczną: zrozum, jak JavaScript wykonuje się w kontekście przeglądarki, poznaj strukturę HTML DOM i manipulację elementami, zapoznaj się z nagłówkami żądań i odpowiedzi HTTP oraz zrozum atrybuty ciasteczek i zarządzanie sesjami.

4. Rozpocznij testowanie podatności: użyj umiejętności do systematycznego testowania wektorów ataku XSS (przechowywane, odzwierciedlone i DOM-based), wprowadzaj payloady testowe w polach wejściowych aplikacji i monitoruj odpowiedzi za pomocą narzędzi analitycznych.

5. Analizuj wyniki i generuj raport: zbierz proof-of-concept payloady demonstrujące wpływ podatności, sklasyfikuj ważność znalezionych luk, przygotuj demonstracje ataku na sesje w kontrolowanym środowisku oraz opracuj rekomendacje naprawcze z konfiguracją Content Security Policy.