Web vulnerable a XSS

Iniciado por llAudioslavell, 2 Enero 2015, 04:39 AM

0 Miembros y 2 Visitantes están viendo este tema.

llAudioslavell

Hola a todos !!! he encontrado una web vulnerable a XSS.. inserto etiquetas HTML y si me lo interpreta, por ejemplo h1, marquee, img, etc ... Hasta ahi todo bien pero el problema es que cuando intento meter codigo JS no me lo interpreta, intente de muchas maneras pero nada ! A mi parecer la validacion no permite ingresar la etiqueta <script> </script>. En este caso, de que manera podria insertar codigo javascript ????????
Gracias de ante mano  :laugh:



Alguna ayuda????? Hasta ahora solo he podido  hacerlos con etiquetas como <iframe> pero al insertar algun codigo js no me lo interpreta.  :(

Mod: No hacer doble post. Existe el botón modificar.

engel lex

No hagas doble post, si quieres decir algo adicional usa el botón modificar

Recuerda que el foro no promueve comportamiento no etico o ilegal

Cita de: llAudioslavell en  2 Enero 2015, 04:39 AM
Hola a todos !!! he encontrado una web vulnerable a XSS.. inserto etiquetas HTML y si me lo interpreta, por ejemplo h1, marquee, img, etc ... Hasta ahi todo bien pero el problema es que cuando intento meter codigo JS no me lo interpreta, intente de muchas maneras pero nada ! A mi parecer la validacion no permite ingresar la etiqueta <script> </script>. En este caso, de que manera podria insertar codigo javascript ????????
Gracias de ante mano  :laugh:

Si no es tuya reporta el problema al administrador
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

dimitrix

Cuadno noob aparece, xssman aparece!!!!

El día que termines de probar todas estas posibilidades me avisas xD
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet


Ahhh, recuerda que cada navegador tiene una seguridad, por lo que, aunque no funcione en FF puede funcionar en Chrome o IE.




llAudioslavell

Cita de: dimitrix en  3 Enero 2015, 07:04 AM
Cuadno noob aparece, xssman aparece!!!!

El día que termines de probar todas estas posibilidades me avisas xD
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet


Ahhh, recuerda que cada navegador tiene una seguridad, por lo que, aunque no funcione en FF puede funcionar en Chrome o IE.

Hola dimitrix !! Ya he chekeado esa web y otras formas de ataque XSS pero como digo, parece que no esta interpretando la etiqueta <script>, lo intente tambien  de esta manera :
%3Cscript%3E alert( %22 hola %22 ); %3C/script%3E
Y nada, lo he hecho de muchas maneras !! pero hasta ahora solo me ha interpretado etiquetas HTML pura. O quiza lo este haciendo mal ?  :huh:

engel lex

Cita de: llAudioslavell en  3 Enero 2015, 07:10 AM
Hola dimitrix !! Ya he chekeado esa web y otras formas de ataque XSS pero como digo, parece que no esta interpretando la etiqueta <script>, lo intente tambien  de esta manera :
%3Cscript%3E alert( %22 hola %22 ); %3C/script%3E
Y nada, lo he hecho de muchas maneras !! pero hasta ahora solo me ha interpretado etiquetas HTML pura. O quiza lo este haciendo mal ?  :huh:

Aunque sea leiste el link? XD mas no necesitas
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

llAudioslavell

Cita de: engel lex en  3 Enero 2015, 07:11 AM
Aunque sea leiste el link? XD mas no necesitas

Amigo, lo he leido -gracias al traductor. No pienses que soy como aquellos que lo quieren todo a la mano! repito, aun sigo investigando en google sobre ataques XSS !

llAudioslavell

Cita de: dimitrix en  3 Enero 2015, 07:04 AM
Cuadno noob aparece, xssman aparece!!!!

El día que termines de probar todas estas posibilidades me avisas xD
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet


Ahhh, recuerda que cada navegador tiene una seguridad, por lo que, aunque no funcione en FF puede funcionar en Chrome o IE.

Aqui un ejemplo, estoy ingresando un iframe, como ya mencione, solo puedo ingresar etiquetas html pura :( .

http://subefotos.com/ver/?815e5bc0837394b460e692702334fadeo.jpg

engel lex

Pero desde un iframe de distinto host no vas a poder "salir" asi que con iframe es inutil... es un xss reflejado, asì que tampoco es de riesgo...

Lee el link.... no uses <script> no uses <iframe> pirque ya viste que es inutil
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

llAudioslavell

Cita de: dimitrix en  3 Enero 2015, 07:04 AM
Cuadno noob aparece, xssman aparece!!!!

El día que termines de probar todas estas posibilidades me avisas xD
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet


Ahhh, recuerda que cada navegador tiene una seguridad, por lo que, aunque no funcione en FF puede funcionar en Chrome o IE.

Dimitrix !!!!!! Juro que habia probado con IE, Chromer y Opera pero tu comentario me desperto la curiosidad de probar con FF y......... SI FUNCA !! Si interpreta el alert(); de JS XD !! Estaba muy acostumbrado al chromer y al opera  ;D . Ahora si, a seguir leyendo para profundizar este tema  ;-) Gracias !!!!!!!!!!!

dimitrix

Nada, a seguir probando xDDD