Html Injection

Iniciado por WebStar, 18 Noviembre 2007, 15:38 PM

0 Miembros y 2 Visitantes están viendo este tema.

WebStar

Bueno, me dieron una idea de hacer un tutorial sobre Html Injection, es muy sencillo, esto consta de hacerle un redireccionami ento a una web, qe al que entre lo mande a la tuya.
Este tipo de inyeccion se puede realizar en los foros que en sus libros de visitas, tengan habilitada la opcion de ingresar codigo html.
Para fijarnos si la web es vulnerable hacemos lo siguiente, ingresamos el siguiente codigo html..

<h1> hola como va??

Si el mensaje se agranda es porque esta web es vulnerable!! :D
Muy facil no??
Bueno, ahora para hacer el redireccionami ento, en el libro de visitas escribimos el siguiente code:

<META HTTP-EQUIV="refresh" CONTENT="1; url=ACA PONES TU URL O CUALQUIERA A LA QUE QUIERAS REDIRECCIONAR">

Y.. eureca!!, establecimos la redireccion :)

Espero que les sirva de algo, y cualquier duda pregunten :D

Salu2.

_mÙëK§™_

Hola, que tal?

HTML Injection es un nombre alternativo a XSS ( Cross Site Scripting ), para lo cual ya hay aqui un par de manuales muy buenos.

Solo queria hacer esa aclaracion.

Salu2

sirdarckcat

Pues esque jaja, Cross Site Scripting, es ejecutar cualquier tipo de scripting en el contexto de otro dominio..
en este caso, no se esta usando ningun tipo de scripting, por lo que, en realidad, la vulnerabilidad, aunque es XSS, el ataque es HTML Inyection, aunque en mi opinion es muy tonto hacer un ataque de "HTML Injection" cuando puedes hacer cosas muchisimo mas interesantes con XSS..

Saludos!!

papanoel_devacaciones

Cita de: mono437 en 22 Noviembre 2007, 01:55 AM
<h1> hola como va??

  :o :o Evidentemente este foro como la mayoría no son vulnerables a esto  :xD

sirdarckcat


berz3k


HTML injection?

No es muy productivo injectar simple codigo html y mucho menos hacer un tutorial de ello, mejor bajarme un manual de HTML, yo lo usaria simplemente para "INICIAR" algun tipo de injection ya sea en alguna variable o campo vulnerable, eg:

</> <color> <bold>

de ahi tomarlo como punto de "partida" para lograr algun tipo de atauqe XSS, CSRF, Hijacking Cookies etc.


-berz3k.




zhynar_X

Si que podria ser util inyectar HTML, podriamos usarlo para explotar un buffer overflow en el navegador de "la victima", por ejemplo el IExplorer 6.0 que tiene un bug de buffer overflow en la etiqueta iframe.


Saludos!
Me he creado un blog:
http://zhynar.blogspot.com  Aver si os gusta! ;)


Optimista es aquel que cree poder resolver un atasco de trafico tocando el claxon (Anonimo)

sirdarckcat

zhynar_X:
tenía un bug..

Y pues un ataque de ADP es mas explotable que un BoF, y un exploit de BoF lo detectan incluso los antivirus, y un ataque no.. esa es la diferencia de explotación y ataque :P.. webappsec r0x

Saludos!!

Pablo Videla

 :P Bueno, aun quedan libros de visitas vulnerable , aunque la forma es muy tonta ajajja :P y bastante antigua  :-X

Igual a algunos les servira  :rolleyes:

Saludos

OzX

de todas formas hay diferencias bien grande con el xss hasta donde se XD¡  :xD (los que saben mas de xss decidme xd¡) :-[

los html injections se pueden dejar en el servidor, osea si es un libro de visita este al ser ejecutado por otras personas tambien veran esta injection, el tipico script q salta la ventanita o q se yo.

en cambio el xss solo lo ve kien ejecuta la xss esacta y afecta al usuarios que lo ve y no a todos.. kienes vean la pagina...