Html Injection

Iniciado por WebStar, 18 Noviembre 2007, 15:38 PM

0 Miembros y 3 Visitantes están viendo este tema.

-sagitari-

Cita de: CL1O en  6 Diciembre 2007, 22:07 PM
Hola amigos, con eso yo puedo hacer lo que quiero en la pagina no?
Guau que copado jejeje por ej

<script>
  document.documentElement.innerHTML="ActiveSheet";
</script>


Yo con eso podria borra todo no? Hay no, que bueno che jejje re maldito, pero no me gusta hacer eso....

Chau suerte

Pero si por ejemplo ese código lo inyectas de forma externa, por ejemplo:

www.victima.com/index.php?web=<script>document.documentElement.innerHTML="ActiveSheet";</script>

No funcionará.

Además, hay cambios que simplemente son "clientside" y no "serverside" es decir, solamente se altera la web en tu ordenador pero no la estás alterando de una forma interna realmente... los cambios generados se visualizan simplemente en tu navegador, en tu ordenador no en el de otros......



Saludos:

sirdarckcat

Ozx, es "inyecciones", no "injecciones", en ingles se dice "injection", pero no vale combinar los 2 idiomas :xD

741852, cuando se afecta en el servidor es un ataque de XSS directo o "persistente", cuando es desde un campo no persistente, se les llama XSS indirecto, o "reflejado".

Saludos!!

OzX

Cita de: sirdarckcat en  9 Diciembre 2007, 01:41 AM
Ozx, es "inyecciones", no "injecciones", en ingles se dice "injection", pero no vale combinar los 2 idiomas :xD

741852, cuando se afecta en el servidor es un ataque de XSS directo o "persistente", cuando es desde un campo no persistente, se les llama XSS indirecto, o "reflejado".

Saludos!!


XD¡¡¡¡  :rolleyes: :rolleyes: :rolleyes:

bue pero igual se entiende aunque me enrede xD¡

_mÙëK§™_

Cita de: riva en  5 Diciembre 2007, 00:30 AM
Cita de: muekas en  2 Diciembre 2007, 07:45 AM
ps  a mi parecer HTML injection y XSS es lo mismo, inyectas codigo, pero bueno... :rolleyes:

Inyectar HTML???? años sin ver un foro que permita mas haya de BBCode...pero bueno...

Salu2

hay muchisimas webs de noticias de ciudades que no son grandes que tienen un buscador

y en esos buscadores podes mete de todo  :D

Usualmente XSS  :rolleyes:

yeikos

Citar

[...]

XSS es un ataque basado en la explotación del sistema de validación de caracteres que trabaja por parte del servidor. Sus siglas significan Cross Site Scripting, y fue titulado XSS para no confundir con las hojas de estilo en cascada (CSS). Como su propio nombre indica, mediante este ataque es posible introducir cualquier lenguaje de interpretación (scripting) en susodicha página WEB para que éste sea ejecutado, siempre y cuando, el lenguaje sea soportado por el navegador..

Claros ejemplos de lenguajes que cumplen los requisitos anteriores, son javascript (JS) y Visual Basic Script (VBS), de los cuales, tan solo el primero ha llegado a convertirse en un estándar, siendo soportado por casi todos los navegadores, a excepción de aquellos usuarios que lo tienen deshabilitado por motivos de seguridad, pero hoy en día, desafortunadamente son pocos los que toman estas medidas de seguridad, convirtiéndose así en una minoría absoluta. Visual Basic Script, por el contrario, sufre incompatibilidad con los navegadores, siendo tan solo funcional con Internet Explorer.

[...]

   Principales Vulnerabilidades en Aplicaciones WEB - yeikos


Sha0

Lo gracioso es cuando tu html/script sube a su base de datos y se queda persistente,
algunos bancos tienen estos problemas :)

http://jolmos.blogspot.com

No intentes doblar la cuchara, eso es imposible.
Solo intenta comprender la realidad ...
que no hay cuchara.
-- a hacker --