Изменение уже существующих файлов JavaScript на стороне сервера с помощью XSS

Question

В настоящее время я пытаюсь как разобраться, так и исследовать возможность использования «хранимого XSS» для манипулирования файлами javascript веб-сайтов.

Так, например, если веб-сайт загружен скриптом «infinite-scroll.js» и в предположении, что он уязвим к атакам XSS, можно ли добавить собственный код в «infinite-»scoll.js 'с использованием XSS?Затем сохраните это на веб-сервере, чтобы любой, кто получит доступ к этому веб-сайту в будущем, также увидел этот сценарий с моим измененным кодом?

Cheers:)

Answer 1

Нет.

Уязвимость XSS заключается в том, что сервер принимает пользовательский ввод и затем выводит его снова без надлежащего экранирования, в результате чего контент, который дизайнер сайта ожидал обработать как текст, будет считаться исполняемым JavaScript.

Хранимая уязвимость - это та, в которой входные данные сохраняются на сервере, а затем выводятся.Например, система комментариев может запросить ваше имя, которое вы можете указать как <script>alert('XSS');</script>, а затем этот JavaScript будет запускаться в браузере любого пользователя, просматривающего этот комментарий позже.

Пока может - это уязвимость, позволяющая злоумышленнику перезаписать статический файл JavaScript своей собственной версией, обычно он не классифицируется как XSS.