Ataque XSS?

Iniciado por Sapote, 2 Septiembre 2019, 22:12 PM

0 Miembros y 1 Visitante están viendo este tema.

Sapote

Hola buenas tardes, estoy probando una plataforma y tengo una duda acerca de XSS, he mandado el Alert y entrega una respuesta 200. pero no me muestra ninguna alerta, la pagina queda en blanco.





Se puede decir que esta url es vulnerable a XSS o realmente no?




Debo admitir que al realizar la alerta tuve un error de dedo y puse mal la función .json y me mostro un error de CakePHP, supongo que esto esta de mas, pero me gustaría saber si puedo explotarlo de alguna manera.





¿Alguna recomendacion?



Gracias

@XSStringManolo

Si te devuelve 200 es un ok status pero yo lo que veo es un 404 de not found.

Estás testeando un cliente en local sin el back-end? O testeando las peticiones a mano?
No tienes el fuente que estás testeando? Igual el error te lo da por la comilla simple y no por el alert.

Supongo que tendrás desactivado el filtro de navegador que te protege de XSS no? Porque si lo tienes activado no vas a ver nunca un alert en una página real.
Muchos te chapan las comillas dobles o estás rompiendo y abriendo el código y deformando la web. Haz simplemente alert(1); que no entraña riesgos para la web.

Sapote

Cita de: string Manolo en  2 Septiembre 2019, 23:03 PM
Si te devuelve 200 es un ok status pero yo lo que veo es un 404 de not found.

Es que son 2 peticiones diferentes, en la primer imagen donde se ve todo blanco me devuelve un 200. Y en la segunda peticion puedes ver que esta mal escrito logout y dice "logouy" y ahi me devuelve el error 404 pero con la informacion del phpcake



CitarEstás testeando un cliente en local sin el back-end? O testeando las peticiones a mano?

A manita ;D

CitarNo tienes el fuente que estás testeando? Igual el error te lo da por la comilla simple y no por el alert.
No, no lo tengo.

CitarSupongo que tendrás desactivado el filtro de navegador que te protege de XSS no? Porque si lo tienes activado no vas a ver nunca un alert en una página real.

De hecho si lo tengo activado en firefox, ya pruebo desactivandolo y cuento que tal.

CitarMuchos te chapan las comillas dobles o estás rompiendo y abriendo el código y deformando la web. Haz simplemente alert(1); que no entraña riesgos para la web.

En caso que quiera explotar ese callback que otra opcion pudiera ser valida?


Muchas gracias

@XSStringManolo

Cita de: Sapote en  2 Septiembre 2019, 23:38 PM
Es que son 2 peticiones diferentes, en la primer imagen donde se ve todo blanco me devuelve un 200. Y en la segunda peticion puedes ver que esta mal escrito logout y dice "logouy" y ahi me devuelve el error 404 pero con la informacion del phpcake
Ahh vale. Entonces todo normal. La página en blanco podría ser la página de "error". No tengo ni la menor idea porque no sé que código estás testeando. Prueba más payloads a ver como actúa.


Cita de: Sapote
A manita ;D
  No, no lo tengo.
Las estás crafteando a base de plain-text sin mirar nada? Igual por eso te responde en blanco? Probaste con la url normal si también devuelve la página en blanco? Igual es porque no tienes la cabecera de las cookies seteada o algo de sesión. Si el backend se supone que te redirige mirando el ID de la sesión en el archivo de la sesión y estás crafteando la cabecera sin ninguna sesion ni cookies, no tiene un usuario al cual hacer logout. Pueden ser varias cosas.

Cita de: SapoteEn caso que quiera explotar ese callback que otra opcion pudiera ser valida?
Pufff hay un montón de cosas que puedes testear. Inyeciones de comandos, htmli, xml, xxe, xss, sqli, Xpath, ldap, path transversal, csrf, directorios y archivos predecibles, data leaks, subida de archivos...
A cerca de PHPcake ni idea. Héchale un ojo por google a ver que encuentras. También mira los típicos robots.txt, ruta/../../../../../../../../../../../etc/passwd
random/../../../../file.txt El sitemap.xml etc.

Puedes testear el html en local y pasarle scanneres para buscar errores client-side si está parseando o validando en la parte del cliente, puede que cometa los mismos errores en el server. No te quedes en la web, mira también la red y el software detrás.


Sapote

Cita de: string Manolo en  3 Septiembre 2019, 00:45 AM
Ahh vale. Entonces todo normal. La página en blanco podría ser la página de "error". No tengo ni la menor idea porque no sé que código estás testeando. Prueba más payloads a ver como actúa.

Para ese tipo de estructura es recomendable payloads sin <script>?

CitarLas estás crafteando a base de plain-text sin mirar nada? Igual por eso te responde en blanco? Probaste con la url normal si también devuelve la página en blanco? Igual es porque no tienes la cabecera de las cookies seteada o algo de sesión. Si el backend se supone que te redirige mirando el ID de la sesión en el archivo de la sesión y estás crafteando la cabecera sin ninguna sesion ni cookies, no tiene un usuario al cual hacer logout. Pueden ser varias cosas.

Comprendo, ahorita probando un poco mas veo que esta habilitadas las peticiones tanto GET como POST, pero realmente no conozco la estructura del envio de datos para poder generar algo mas grande.  :-\

CitarPufff hay un montón de cosas que puedes testear. Inyeciones de comandos, htmli, xml, xxe, xss, sqli, Xpath, ldap, path transversal, csrf, directorios y archivos predecibles, data leaks, subida de archivos...
A cerca de PHPcake ni idea. Héchale un ojo por google a ver que encuentras. También mira los típicos robots.txt, ruta/../../../../../../../../../../../etc/passwd
random/../../../../file.txt El sitemap.xml etc.

Probe anteriormente esos LFI con ../../../cmd y me arroja un 403, y sinceramente no encuentro le modo de bypassear el 403 XD


CitarPuedes testear el html en local y pasarle scanneres para buscar errores client-side si está parseando o validando en la parte del cliente, puede que cometa los mismos errores en el server. No te quedes en la web, mira también la red y el software detrás.
Gracias