Html Injection

[-sagitari-]

Hola amigos, con eso yo puedo hacer lo que quiero en la pagina no?
Guau que copado jejeje por ej

Código [Seleccionar] Expandir

<script>
  document.documentElement.innerHTML="ActiveSheet";
</script>


Yo con eso podria borra todo no? Hay no, que bueno che jejje re maldito, pero no me gusta hacer eso....

Chau suerte

Pero si por ejemplo ese código lo inyectas de forma externa, por ejemplo:

Código [Seleccionar] Expandir

www.victima.com/index.php?web=<script>document.documentElement.innerHTML="ActiveSheet";</script>

No funcionará.

Además, hay cambios que simplemente son "clientside" y no "serverside" es decir, solamente se altera la web en tu ordenador pero no la estás alterando de una forma interna realmente... los cambios generados se visualizan simplemente en tu navegador, en tu ordenador no en el de otros......



Saludos:

[sirdarckcat]

Ozx, es "inyecciones", no "injecciones", en ingles se dice "injection", pero no vale combinar los 2 idiomas

741852, cuando se afecta en el servidor es un ataque de XSS directo o "persistente", cuando es desde un campo no persistente, se les llama XSS indirecto, o "reflejado".

Saludos!!

[OzX]

Ozx, es "inyecciones", no "injecciones", en ingles se dice "injection", pero no vale combinar los 2 idiomas

741852, cuando se afecta en el servidor es un ataque de XSS directo o "persistente", cuando es desde un campo no persistente, se les llama XSS indirecto, o "reflejado".

Saludos!!

XD¡¡¡¡ 

bue pero igual se entiende aunque me enrede xD¡

[_mÙëK§™_]

ps  a mi parecer HTML injection y XSS es lo mismo, inyectas codigo, pero bueno...

Inyectar HTML???? años sin ver un foro que permita mas haya de BBCode...pero bueno...

Salu2

hay muchisimas webs de noticias de ciudades que no son grandes que tienen un buscador

y en esos buscadores podes mete de todo 

Usualmente XSS 

[yeikos]

[...]

XSS es un ataque basado en la explotación del sistema de validación de caracteres que trabaja por parte del servidor. Sus siglas significan Cross Site Scripting, y fue titulado XSS para no confundir con las hojas de estilo en cascada (CSS). Como su propio nombre indica, mediante este ataque es posible introducir cualquier lenguaje de interpretación (scripting) en susodicha página WEB para que éste sea ejecutado, siempre y cuando, el lenguaje sea soportado por el navegador..

Claros ejemplos de lenguajes que cumplen los requisitos anteriores, son javascript (JS) y Visual Basic Script (VBS), de los cuales, tan solo el primero ha llegado a convertirse en un estándar, siendo soportado por casi todos los navegadores, a excepción de aquellos usuarios que lo tienen deshabilitado por motivos de seguridad, pero hoy en día, desafortunadamente son pocos los que toman estas medidas de seguridad, convirtiéndose así en una minoría absoluta. Visual Basic Script, por el contrario, sufre incompatibilidad con los navegadores, siendo tan solo funcional con Internet Explorer.

[...]

   Principales Vulnerabilidades en Aplicaciones WEB - yeikos

[Sha0]

Lo gracioso es cuando tu html/script sube a su base de datos y se queda persistente,
algunos bancos tienen estos problemas

http://jolmos.blogspot.com