Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Bugs y Exploits => Hacking => Nivel Web => Mensaje iniciado por: Debci en 15 Noviembre 2009, 15:18 PM

Título: Problema con XSS
Publicado por: Debci en 15 Noviembre 2009, 15:18 PM
Hola amigos, he llegado a la conclusion, por scaner, de que un servidor es vulnerable a injecion html, me dice que ejecute lo siguiente:

Código [Seleccionar]
/k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJUBddfBVi0tGWNFa0P3F4NsgtePjkC8vDbf3DmKfmlyYeBmhJvMiVNtjv0yVmNqkx7V5HHIbs0o59lMP4i2DgQPc0H94Pf0ROFuXFMwJHiI7LUluaVrViT29otAu5hXvq3H27e15TBX2fyMjP<font%20size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection

como directorio (supongo), pero al ejecutarlo obetngo lo siguiente:

Código [Seleccionar]

Forbidden

You don't have permission to access /k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJUBddfBVi0tGWNFa0P3F4NsgtePjkC8vDbf3DmKfmlyYeBmhJvMiVNtjv0yVmNqkx7V5HHIbs0o59lMP4i2DgQPc0H94Pf0ROFuXFMwJHiI7LUluaVrViT29otAu5hXvq3H27e15TBX2fyMjP<font size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection on this server.
Apache/2.2.8 (Win32) PHP/5.2.6 Server at *****.com Port 80


que estoy haciendo mal? ES uno de los conocidos fallos del servidor?

Saludos
Título: Re: Problema con XSS
Publicado por: jdc en 15 Noviembre 2009, 16:28 PM
Lo que estas haciendo mal es usar un scaner... Fíjate que estas inyectando y no lo llámes html inyection sino xss xD sino WHK te castigará ja ja ja
Título: Re: Problema con XSS
Publicado por: Debci en 15 Noviembre 2009, 16:39 PM
XDDDD
No me pegues whk xDD

Saludos
Título: Re: Problema con XSS
Publicado por: Castg! en 15 Noviembre 2009, 16:59 PM
podrias facilitarnos la web con la inyeccion? ahi me parece que te podria ayudar un poco
Título: Re: Problema con XSS
Publicado por: Debci en 15 Noviembre 2009, 17:50 PM
¬¬
No no puedo...
seria poco ético dar la web y una injecion....

Saludos
Título: Re: Problema con XSS
Publicado por: jdc en 15 Noviembre 2009, 18:03 PM
Pues entonces solucionalo sólo, xD y deja de usar scaners pierdes lo entretenido :) que gracia tiene abrir un programa, hacer 2 clicks, esperar y que te diga... Ah... Eres h4x0r juankeala así xD
Título: Re: Problema con XSS
Publicado por: WHK en 15 Noviembre 2009, 18:18 PM
(http://sonicando.files.wordpress.com/2008/10/rabia.jpg)

jajaja lo que pasa es que el servidor de seguro utiliza mod_security y en una de sus reglas filtra algún carácter especial que pusiste ahi.

No necesitas insertar un chorro de caracteres al inicio, solo basta con probar con '"<> y ves si se muestra en el código fuente o no y ahi ves si recien puedes inyectar código.

Supongo que como es html inyeccion no podrás inyectar javascript porque seria javascript inyeccion xD
Título: Re: Problema con XSS
Publicado por: jdc en 15 Noviembre 2009, 19:34 PM
bueno entonces haz lo siguiente, en la direccion que es supuestamente vulnerable escribe:

http://sitiovulnerable.com/holi.php?<h1>holi

o

http://sitiovulnerable.com/holi.php"><h1>holi

o

http://sitiovulnerable.com/holi.php'<h1>holi

o

http://sitiovulnerable.com/holi.php'"<h1>holi

o

http://sitiovulnerable.com/holi.php...etc ¬¬

Es lo que hace el scaner pero mal, a el no se le ocurren cosas nuevas a ti si :D

CitarSupongo que como es html inyeccion no podrás inyectar ‭‬javascript porque seria ‭‬javascript inyeccion xD

seeeeee llamalo xss ¬¬
Título: Re: Problema con XSS
Publicado por: fede_cp en 15 Noviembre 2009, 20:02 PM
jajaja, me encante el foro de seguridad a nivel web, siempre el termino de las 12354 temrinologias jajaja


saludos y a no uzar tanto scanners y mas el bocho!
Título: Re: Problema con XSS
Publicado por: alexkof158 en 16 Noviembre 2009, 00:47 AM
cuales scanner usan para buscar vulnerabilidades, cuales son mas eficaces y mas veracess??? :huh:

saludos
Título: Re: Problema con XSS
Publicado por: WHK en 16 Noviembre 2009, 02:15 AM
alexcof se nota que ni si quiera te has tomado la molestia de leer el post. si buscas automatizacion nunca vas a encontrar la mayoría de los bugs de una web.

escaneadores hay muchos:
http://www.google.com/search?hl=es&site=&q=escaneador+de+vulnerabilidades+web&btnG=Buscar&lr=

los mas conocidos son nstalker, sss, nikito y en fin.
Título: Re: Problema con XSS
Publicado por: Castg! en 16 Noviembre 2009, 02:40 AM
CitarSupongo que como es html inyeccion no podrás inyectar ‭‬javascript porque seria ‭‬javascript inyeccion xD
pero whk, con un simple "<script>" ya podes inyectar js. lo dijiste jodiendo?
Título: Re: Problema con XSS
Publicado por: jdc en 16 Noviembre 2009, 03:35 AM
Cita de: castg en 16 Noviembre 2009, 02:40 AM
CitarSupongo que como es html inyeccion no podrás inyectar ‭‬‭‬‭‬javascript porque seria ‭‬‭‬‭‬javascript inyeccion xD
pero whk, con un simple "<script>" ya podes inyectar js. lo dijiste jodiendo?

HTML INYECTION = Inyectar HTML xD

Es por esto que prefiere llamarlo XSS ya que puedes inyectar tanto javascript como html...

Título: Re: Problema con XSS
Publicado por: YST en 16 Noviembre 2009, 04:00 AM
El bug se llama Cross-site scripting ¬_¬

Lean esto :P

http://es.wikipedia.org/wiki/Cross-site_scripting
Título: Re: Problema con XSS
Publicado por: Darioxhcx en 16 Noviembre 2009, 05:40 AM
ah pero si no es necesario poner todo eso creo..

k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJ

base 64 ?
wtf
'><h1>laksdaksa (?
xDDD

mira el codigo fuente...
Cita de: YST en 16 Noviembre 2009, 04:00 AM
El bug se llama Cross-site scripting ¬_¬

Lean esto :P

http://es.wikipedia.org/wiki/Cross-site_scripting
jaja tremenda discucion de como se llama.. yo lo llamo , web q acepta etiketas html y js (?
xDDDDDDDDD

saludos
Título: Re: Problema con XSS
Publicado por: jdc en 16 Noviembre 2009, 05:47 AM
Ja ja ja seee al final es la página donde podemos agregar "cuestiones" xD
Sólo texto | Texto con Imágenes