Problema con XSS

Iniciado por Debci, 15 Noviembre 2009, 15:18 PM

0 Miembros y 4 Visitantes están viendo este tema.

Debci

Hola amigos, he llegado a la conclusion, por scaner, de que un servidor es vulnerable a injecion html, me dice que ejecute lo siguiente:

/k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJUBddfBVi0tGWNFa0P3F4NsgtePjkC8vDbf3DmKfmlyYeBmhJvMiVNtjv0yVmNqkx7V5HHIbs0o59lMP4i2DgQPc0H94Pf0ROFuXFMwJHiI7LUluaVrViT29otAu5hXvq3H27e15TBX2fyMjP<font%20size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection

como directorio (supongo), pero al ejecutarlo obetngo lo siguiente:


Forbidden

You don't have permission to access /k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJUBddfBVi0tGWNFa0P3F4NsgtePjkC8vDbf3DmKfmlyYeBmhJvMiVNtjv0yVmNqkx7V5HHIbs0o59lMP4i2DgQPc0H94Pf0ROFuXFMwJHiI7LUluaVrViT29otAu5hXvq3H27e15TBX2fyMjP<font size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection on this server.
Apache/2.2.8 (Win32) PHP/5.2.6 Server at *****.com Port 80


que estoy haciendo mal? ES uno de los conocidos fallos del servidor?

Saludos

jdc

Lo que estas haciendo mal es usar un scaner... Fíjate que estas inyectando y no lo llámes html inyection sino xss xD sino WHK te castigará ja ja ja

Debci

XDDDD
No me pegues whk xDD

Saludos

Castg!

podrias facilitarnos la web con la inyeccion? ahi me parece que te podria ayudar un poco

Debci

¬¬
No no puedo...
seria poco ético dar la web y una injecion....

Saludos

jdc

Pues entonces solucionalo sólo, xD y deja de usar scaners pierdes lo entretenido :) que gracia tiene abrir un programa, hacer 2 clicks, esperar y que te diga... Ah... Eres h4x0r juankeala así xD

WHK



jajaja lo que pasa es que el servidor de seguro utiliza mod_security y en una de sus reglas filtra algún carácter especial que pusiste ahi.

No necesitas insertar un chorro de caracteres al inicio, solo basta con probar con '"<> y ves si se muestra en el código fuente o no y ahi ves si recien puedes inyectar código.

Supongo que como es html inyeccion no podrás inyectar javascript porque seria javascript inyeccion xD

jdc

bueno entonces haz lo siguiente, en la direccion que es supuestamente vulnerable escribe:

http://sitiovulnerable.com/holi.php?<h1>holi

o

http://sitiovulnerable.com/holi.php"><h1>holi

o

http://sitiovulnerable.com/holi.php'<h1>holi

o

http://sitiovulnerable.com/holi.php'"<h1>holi

o

http://sitiovulnerable.com/holi.php...etc ¬¬

Es lo que hace el scaner pero mal, a el no se le ocurren cosas nuevas a ti si :D

CitarSupongo que como es html inyeccion no podrás inyectar ‭‬javascript porque seria ‭‬javascript inyeccion xD

seeeeee llamalo xss ¬¬

fede_cp

jajaja, me encante el foro de seguridad a nivel web, siempre el termino de las 12354 temrinologias jajaja


saludos y a no uzar tanto scanners y mas el bocho!
somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!

alexkof158

cuales scanner usan para buscar vulnerabilidades, cuales son mas eficaces y mas veracess??? :huh:

saludos
"noproxy"