aprendiendo XSS alguien me ayudaaa Help ...

Iniciado por alexkof158, 23 Noviembre 2009, 08:20 AM

0 Miembros y 1 Visitante están viendo este tema.

alexkof158

estoy aprendiendo apenas sobre xss, y he encontrado una pagina vulnerable, entonces al hacer el atake xss me deshabilita los campos del form, mi pregunta q comando ‭‬javascript me habilita los datos de una tabla html????
gracias de antemano y saludosss
"noproxy"

WHK

Hola, bienvenido!

depende como se oculte, si se oculta con visibility: hidden entonces lo haces aparecer con document.GetElementById('id_de_la_tabla').style.visibility = 'visible';
ahora si utilizan display none entonces lo habilitas con display inline y así.

De todas formas el ocultamiento de una tabla no debería impedir la ejecución de scripts si estás inyectando bién.

Aver, pon el trozo de codigo fuente que dices que no se ve o un trozito de captura de pantalla sin revelar que web es, etc etc.

Te esperamos.

alexkof158

vale respondo al momento suena interesante esto no te vallas
"noproxy"

WHK


alexkof158

#4
class="fondoTD">&nbsp;</td></tr><tr height="18"><td class="fondoTD">18</td><td class="fondoTD">08118201</td><td class="fondoTD">xzzzz</td><td class="fondoTD" align="center">4.0&nbsp;</td><td class="fondoTD">&nbsp;</td><td

donde esta la negrilla en ese campo alli deberia ir un texto

y una imagen


y en la pagina hay un boton type=submit que envia los datos, pero estan deshabilitados, median xss se podria poner un dato tipo entero y enviarlo..?'
gracias de antemano
"noproxy"

WHK

Ah lo que tu quieres es otra cosa y no un xss.

Utiliza firefox y te instalas este complemento:
https://addons.mozilla.org/es-ES/firefox/addon/1843

Cuando lo instales reinicias el explorador y vuelves a la pagina, abajo te aparecerá el icono de un bicho que es el firebug y cuando le hagas clock verás la pantalla dividida en dos partes, la parte grafica y el codigo fuente.

La gracia de este complemento es que cuando editas el codigo fuente desde ahi puedes aplicar los cambios inmediatamente.

Hazle doble click en cualquier tag (o sea <algo>) y le escribes esto:

<input type="submit" />

Fijate bien de escribirlo dentro de <form> y </form>
Cuando hagas eso te aparecerá un boton nuevo en la pantalla que es el boton que acabas de hacer y cuando lo presiones enviará el contenido de tu formulario.

Nos vemos.

alexkof158

#6
gracias pero no me funciono edita y todo pero no escribe en la tabla de BD, será posible esto con xss?
"noproxy"

WHK

Si no escribe de esa froma significa que con el xss tampoco.
Al final el xss lo que hace es modificar e DOM al igual como lo estás haciendo con el firebug solo que de forma manual.

Un XSS se ejecuta desde tu cliente por lo tanto si el servidor no quiere procesr ese input aun enviando el form significa que desde un xss tampoco vas a poder ya que si lo hicieras desde un xss tendrias que hacer practicamente lo mismo que hiciste en el firebug.

Saludos.