テストのために最新のブラウザーでXSS保護を一時的に無効にする方法
テスト目的で、最新のブラウザーにあるXSS保護を一時的に無効にすることはできますか?
これをXSSに脆弱なWebフォームに送信するとどうなるかを同僚に説明しようとしています。
<script>alert("Danger");</script>
ただし、ChromeとFirefoxはXSSポップアップを妨げています。この保護を無効にして、アクションの結果を完全に見ることができますか?
Chromeでは、ブラウザを起動できるフラグがあります。このフラグを使用してブラウザを起動すると、必要な処理を実行できます。
--disable-web-security
知らない人の便宜のために....
「C:\ Program Files(x86)\ Google\Chrome\Application\chrome.exe」--args --disable-web-security
上記をショートカットのパスとして使用します
XSSを無効にしたくない場合は、--disable-xss-auditor。完全な引数は次のようになります。
「C:\ Program Files(x86)\ Google\Chrome\Application\chrome.exe」--disable-xss-auditor
コマンドを実行する前に、すべてのchrome.exeプロセスが強制終了されていることを確認してください。必要に応じて、より多くの引数を渡すこともできます。たとえば、システム全体でプロキシを有効にしたくないため、プロキシ引数をよく使用します。
「C:\ Program Files(x86)\ Google\Chrome\Application\chrome.exe」--disable-xss-auditor --proxy-server = 127.0.0.1:8080
フォームの送信時にユーザーを別のローカルWebページにリダイレクトし、感染データを印刷できます。 Chromeはそれを検出しません。
ヒント:セッション/ Cookieを使用して、感染したデータを2ページ間で保存できます。
PHPの例:
index.php
<?php
setcookie('infected', $_POST['infected']);
if($_POST['infected'])
header('location: show.php');
?>
<form action="index.php" method="POST" />
<p>
Username: <input type="text" name="infected" />
<input type="submit" value="Add Comment" />
</p>
</form>
show.php
echo $_COOKIE['data'];
Disable引数の使用は一時的ですか?限られたテストでは、永続的なようです。 XSS-Auditorは無効のまま in Chrome xss-auditor引数なしで起動されたウィンドウ。有効にするには、「C:\ Program Files(x86)\ Google\Chrome\Application\chrome.exe "--enable-xss-auditor