Problema con XSS

Iniciado por Debci, 15 Noviembre 2009, 15:18 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1 2
Acciones del Usuario

Debci

15 Noviembre 2009, 15:18 PM
Hola amigos, he llegado a la conclusion, por scaner, de que un servidor es vulnerable a injecion html, me dice que ejecute lo siguiente:

Código [Seleccionar]
/k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJUBddfBVi0tGWNFa0P3F4NsgtePjkC8vDbf3DmKfmlyYeBmhJvMiVNtjv0yVmNqkx7V5HHIbs0o59lMP4i2DgQPc0H94Pf0ROFuXFMwJHiI7LUluaVrViT29otAu5hXvq3H27e15TBX2fyMjP<font%20size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection

como directorio (supongo), pero al ejecutarlo obetngo lo siguiente:

Código [Seleccionar]

Forbidden

You don't have permission to access /k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJUBddfBVi0tGWNFa0P3F4NsgtePjkC8vDbf3DmKfmlyYeBmhJvMiVNtjv0yVmNqkx7V5HHIbs0o59lMP4i2DgQPc0H94Pf0ROFuXFMwJHiI7LUluaVrViT29otAu5hXvq3H27e15TBX2fyMjP<font size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection on this server.
Apache/2.2.8 (Win32) PHP/5.2.6 Server at *****.com Port 80


que estoy haciendo mal? ES uno de los conocidos fallos del servidor?

Saludos

jdc

#1
15 Noviembre 2009, 16:28 PM
Lo que estas haciendo mal es usar un scaner... Fíjate que estas inyectando y no lo llámes html inyection sino xss xD sino WHK te castigará ja ja ja

Debci

#2
15 Noviembre 2009, 16:39 PM
XDDDD
No me pegues whk xDD

Saludos

Castg!

#3
15 Noviembre 2009, 16:59 PM
podrias facilitarnos la web con la inyeccion? ahi me parece que te podria ayudar un poco

Debci

#4
15 Noviembre 2009, 17:50 PM
¬¬
No no puedo...
seria poco ético dar la web y una injecion....

Saludos

jdc

#5
15 Noviembre 2009, 18:03 PM
Pues entonces solucionalo sólo, xD y deja de usar scaners pierdes lo entretenido :) que gracia tiene abrir un programa, hacer 2 clicks, esperar y que te diga... Ah... Eres h4x0r juankeala así xD

WHK

#6
15 Noviembre 2009, 18:18 PM


jajaja lo que pasa es que el servidor de seguro utiliza mod_security y en una de sus reglas filtra algún carácter especial que pusiste ahi.

No necesitas insertar un chorro de caracteres al inicio, solo basta con probar con '"<> y ves si se muestra en el código fuente o no y ahi ves si recien puedes inyectar código.

Supongo que como es html inyeccion no podrás inyectar javascript porque seria javascript inyeccion xD

jdc

#7
15 Noviembre 2009, 19:34 PM
bueno entonces haz lo siguiente, en la direccion que es supuestamente vulnerable escribe:

http://sitiovulnerable.com/holi.php?<h1>holi

o

http://sitiovulnerable.com/holi.php"><h1>holi

o

http://sitiovulnerable.com/holi.php'<h1>holi

o

http://sitiovulnerable.com/holi.php'"<h1>holi

o

http://sitiovulnerable.com/holi.php...etc ¬¬

Es lo que hace el scaner pero mal, a el no se le ocurren cosas nuevas a ti si :D

CitarSupongo que como es html inyeccion no podrás inyectar ‭‬javascript porque seria ‭‬javascript inyeccion xD

seeeeee llamalo xss ¬¬

fede_cp

#8
15 Noviembre 2009, 20:02 PM
jajaja, me encante el foro de seguridad a nivel web, siempre el termino de las 12354 temrinologias jajaja


saludos y a no uzar tanto scanners y mas el bocho!
somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!

alexkof158

#9
16 Noviembre 2009, 00:47 AM
cuales scanner usan para buscar vulnerabilidades, cuales son mas eficaces y mas veracess??? :huh:

saludos
"noproxy"
Imprimir
Ir Arriba Páginas1 2
Acciones del Usuario