Exercise 14 – Here Today and Gone Tomorrow

Dein Konkurrent erkennt seinen Fehler und behebt ihn schnell. Alles ist eine Weile in Ordnung.

Aber bald haben sie eine weitere neue Funktion gestartet. Sie haben Unterstützung für die spanische und deutsche Sprache zur Suchseite hinzugefügt. Sie sind eindeutig darauf aus, ihre Reichweite auf den internationalen Markt auszudehnen.

Eine neue Funktion bedeutet jedoch normalerweise viel neuen Code. Und viel neuer Code bedeutet viele neue potenzielle Fehler. Du entscheidest dich, die neue Sprachfunktion, die sie hinzugefügt haben, genauer unter die Lupe zu nehmen, um zu sehen, was du finden kannst.

In einem nicht verwandten Zusammenhang hattest du heute einen kurzen Moment des Zweifels daran, ständig die Websites deines Konkurrenten anzugreifen. Du hast dich gefragt, ob es tatsächlich eine gute Idee ist. Aber der Moment war kurz und bald kehrt dein gesunder Menschenverstand zurück. Du setzt deinen schwarzen Hut auf, öffnest die DevTools und beginnst zu hacken.

Ziel

Finde die XSS-Schwachstelle in ihrem Code. Anders als bei den vorherigen Übungen reicht es möglicherweise nicht aus, einfach in das Suchfeld zu tippen. Du musst möglicherweise die URL selbst ändern.

Bitte speichere die Angriffs-URL, die ein XSS verursacht, wenn das Opfer sie besucht.

Tipp

Wenn du eine Lösung gefunden hast, die funktioniert, solltest du in der Lage sein, diese Angriffs-URL in einem neuen Tab einzufügen und den Angriff auszuführen.

Lektion gelernt: Selbst wenn ein Server niemals eine anfällige URL generieren und in das HTML einfügen würde, ist das keine Garantie dafür, dass ein Angreifer diese anfällige URL nicht findet und Benutzer irgendwie dazu bringt, sie zu besuchen.

Bevor du zur nächsten Übung übergehst, denke daran, deine Angriffs-URL im Opal-Kurs abzugeben.