xss-testing

Umiejętność do profesjonalnego testowania podatności na ataki XSS (Cross-Site Scripting). Obejmuje trzy główne typy ataków: refleksyjny (poprzez parametry URL), przechowywany (w bazie danych) i oparty na DOM (po stronie klienta). Nauczysz się konstruować payload'y, omijać filtry poprzez zmianę wielkości liter, kodowanie i zaawansowane techniki, oraz weryfikować wykonanie kodu. Skill zawiera praktyczne przykłady i metody testowania dla każdego typu XSS.

1. Zainstaluj narzędzie dalfox, które automatyzuje testowanie XSS — jest to główne narzędzie opisane w dokumentacji do skanowania celów. Alternatywnie możesz użyć Burp Suite lub przeglądarki do testów manualnych.

2. Zidentyfikuj cel testów — wybierz stronę internetową lub parametr URL, który chcesz zbadać pod kątem podatności XSS. Upewnij się, że masz uprawnienia do testowania danego systemu.

3. Uruchom podstawowe skanowanie dalfox poleceniem: dalfox url "http://target.com/page?q=test". Narzędzie automatycznie przetestuje parametry na obecność refleksyjnego XSS.

4. Dla testów zaawansowanych użyj payload'ów omijających filtry — spróbuj zmienić wielkość liter (scRiPt zamiast script), kodowanie URL (%3Cscript%3E), HTML entity (<script>) lub String.fromCharCode. Dokumentacja zawiera gotowe przykłady każdej techniki.

5. Weryfikuj wyniki — potwierdź, czy payload został wykonany, sprawdź czy został przefiltrowany lub zakodowany, i oceń wpływ (możliwość kradzieży cookies, przejęcia sesji). Dla DOM XSS testuj bezpośrednio w konsoli przeglądarki.

6. Dokumentuj podatności — zanotuj typ XSS (refleksyjny, przechowywany czy DOM), użytą technikę obejścia filtrów i potencjalny wpływ na bezpieczeństwo aplikacji.