Created
January 18, 2026 18:14
-
-
Save sunmeat/e267338adc870a6a5d9e5a1bb892f97c to your computer and use it in GitHub Desktop.
приклад успішної XSS атаки
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| 1) створити новий ASP.NET Core Web App (Model-View-Controller) | |
| 2) HomeController.cs: | |
| using Microsoft.AspNetCore.Mvc; | |
| namespace WebApplication1.Controllers | |
| { | |
| public class HomeController : Controller | |
| { | |
| public IActionResult Index(string message) | |
| { | |
| ViewBag.Message = message; // передача параметра у ViewBag | |
| return View(); | |
| } | |
| } | |
| } | |
| ====================================================================================================== | |
| 3) Views / Home / Index.cshtml: | |
| @{ | |
| ViewData["Title"] = "Home Page"; | |
| } | |
| <div class="text-center"> | |
| <h1 class="display-4">Welcome</h1> | |
| <p>Message: @ViewBag.Message</p> <!-- вразливість: вивід без енкодингу в Razor, але якщо дані не енкодовані вручну, Razor енкодує автоматично. для симуляції вразливості використовується Html.Raw --> | |
| <p>Raw Message: @Html.Raw(ViewBag.Message)</p> <!-- симуляція вразливості: використання Html.Raw для виведення без енкодингу --> | |
| </div> | |
| ====================================================================================================== | |
| 4) в адресний рядок передаємо параметр: | |
| https://localhost:7294/ | |
| https://localhost:7294/?message=Hello%20World | |
| https://localhost:7294/?message=%3Cscript%3Ealert(%27XSS%20Attack!%27);%3C/script%3E |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment