practicando xss duda

jesusarturoes · 5 Julio 2012, 08:28 AM

Bueno amigos, andaba practicando xss viendo de un manual algo que se llama xss dom o local, y pues venia un codigo:

Código (html4strict) [Seleccionar]

<html>
<title>Bienvenido!</title>
Hola
<script>
var pos= document.URL.indexOf("nombre=")+7;
document.write(document.URL.substring(pos,document.U

RL.length));
</script>
<br />
Bienvenido a nuestra pagina...
</html>

ese era el code lo que hace es bien facil modifica la url asi yo le pongo:

http://localhost/xssdom.html?nombre=loquelepongoaquisale

me mostraria:

Hola loquelepongoaquisale
Bienvenido a nuestra pagina...

ahora yo queria checar el xss y le puse:

http://localhost/xssdom.html?nombre=<script>alert();</script>

y me sale:

Hola %3Cscript%3Ealert();%3C/script%3E
Bienvenido a nuestra pagina...

Ahora el problema esta en el navegador pero ya lo hice con mozilla y chrome ahora como le hago para que el navegador no me modifique el xss y asi pueda hacer la inyeccion y probar ese metodo, se que solo se ejecuta en el navegador pero quiero probar je! un saludo comunidad

PD: No sabia donde publicarlo por eso lo puse aqui en dudas generales jeje

adastra · 5 Julio 2012, 12:47 PM

Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor:

http://www.omegajunior.net/code/javascriptinjection.php

Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML

<META HTTP-EQUIV="CONTENT-TYPE"

CONTENT="

application/xhtml+xml

; charset=UTF-8">

[/color]

jesusarturoes · 6 Julio 2012, 04:38 AM

Cita de: adastra en 5 Julio 2012, 12:47 PM
Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor:

http://www.omegajunior.net/code/javascriptinjection.php

Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML

<META HTTP-EQUIV="CONTENT-TYPE"
CONTENT="
application/xhtml+xml
; charset=UTF-8">
[/color]

Ok. Te entiendo perfectamente, pero tengo una duda, como le hago para que mi navegador lo acepte no hay una forma de configurarlo? o un navegador que si lo acepte?

solo eso espero me respondas gracias de antemano

GenR_18 · 6 Julio 2012, 06:05 AM

Cita de: jesusarturoes en 6 Julio 2012, 04:38 AM
Ok. Te entiendo perfectamente, pero tengo una duda, como le hago para que mi navegador lo acepte no hay una forma de configurarlo? o un navegador que si lo acepte? solo eso espero me respondas gracias de antemano

A veces el navegador bloquea el "código malicioso", sería simple ir a "Editar" --> "Preferencias" y ahí buscar un poco sobre el tema, qué navegador usas?

jesusarturoes · 6 Julio 2012, 06:16 AM

Cita de: GenR_18 en 6 Julio 2012, 06:05 AM
A veces el navegador bloquea el "código malicioso", sería simple ir a "Editar" --> "Preferencias" y ahí buscar un poco sobre el tema, qué navegador usas?

firefox o chrome cualquiera de los dos me sirve

jesusarturoes · 6 Julio 2012, 07:09 AM

Cita de: adastra en 5 Julio 2012, 12:47 PM
Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor:

http://www.omegajunior.net/code/javascriptinjection.php

Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML

<META HTTP-EQUIV="CONTENT-TYPE"
CONTENT="
application/xhtml+xml
; charset=UTF-8">
[/color]

Estuve checando el tema que me pasastes, entonces escanee con live https headers:

adastra · 6 Julio 2012, 09:11 AM

Esta bien, pero desde el Live HTTP Headers, intenta quitar el content-type text/html, dejando los dos últimos.

jesusarturoes · 6 Julio 2012, 09:31 AM

Cita de: adastra en 6 Julio 2012, 09:11 AM
Esta bien, pero desde el Live HTTP Headers, intenta quitar el content-type text/html, dejando los dos últimos.

No me sale ese valor igual lo quise introducir con el tamper data pero nada, tambien introduje el codigo del html del content y nada :/ lo mas probable es que sea mi navegador, instalare uno mas viejito para probar esto, es que tambien el texto que estoy leyendo es un poco viejo jeje saludos

GenR_18 · 6 Julio 2012, 18:54 PM

El XSS no tiene nada que ver la antiguedad, sin duda es problema con el navegador, lo que ahi que hacer es configurar.

Editar --> Preferencias --> Seguridad

Ahí debe estár, prueba un poco y nos dices.

jesusarturoes · 7 Julio 2012, 03:55 AM

Cita de: GenR_18 en 6 Julio 2012, 18:54 PM
El XSS no tiene nada que ver la antiguedad, sin duda es problema con el navegador, lo que ahi que hacer es configurar.

Editar --> Preferencias --> Seguridad

Ahí debe estár, prueba un poco y nos dices.

jaja ahi no esta esta aca:
Editar>Opciones>Contenido>Bloquear ventanas emergentes

Otra cosa que creo que el codigo anterior esta mal o no se puede inyectar con xdd o esta mal formada mi inyeccion xD! bueno saludos y gracias a todos por ayudarme seguire dandole al tema