XST (Cross Site Tracing)

Iniciado por IWKY, 3 Abril 2008, 01:44 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

IWKY

3 Abril 2008, 01:44 AM Ultima modificación: 3 Abril 2008, 02:16 AM por IWKY
Bueno he encontrado una web con este tipo de bug, he mirado en wikipedia pero no da mucha info, mas bien dice que es una variante del XSS pero no se aplica al html sino al server atrabes de los parametros de debug, y aqui en el foro tampoco es que vayamos sobrados, solo he encontrado un post referente a XST en 9000 dias de busqueda.
Alguien sabe algo de este tipo de bug?, o poner algun ejemplillo basico para captar la idea,  yo he encontrado este pdf http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf y voy ha empezar a leerlo ya que esta en ingles y me cuesta un poco, y atodo esto ¿porque hay tan poca info sobre este bug?

Bueno ya direis algo un saludo.

EDITO
Un codigo que he encontrado por el web.
Código [Seleccionar]

  TRACE / HTTP/1.1
    Accept: */*
    Accept-Language: en-US
    UA-CPU: x86
    Accept-Encoding: gzip, deflate
    If-Modified-Since: Tue, 22 Mar 2005 16:06:25 GMT
    If-None-Match: "dd2e7-2c8-42404281"
    User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; Media Center PC 5.0; InfoPath.2)
    Host: www.schroepl.net
    Trace: <script>alert(1)</script>
    Proxy-Connection: Keep-Alive
    Pragma: no-cache


EDITO 2:
Con el codigo de arriba junto con el nc he podido ejecutar el script, basicamente lo que faltaria seria como poder aprobecharlo para obtener cookies.
Por internet libre http://red-sostenible.net/
El mejor momento de Dragon Ball Z --> Aqui

sirdarckcat

#1
3 Abril 2008, 05:37 AM
no se pueden obtener cookies con los navegadores mas actuales.

Java y Flash permiten abrir y manipular sockets, pero no mandan cookies.

Saludos!!

IWKY

#2
3 Abril 2008, 20:51 PM
y para abrir los sockets me hace falta que la aplicacion flash este preparada para ello o se tiene que aprovechar tambien algun fallo de la aplicacion.

Un saludo.
Por internet libre http://red-sostenible.net/
El mejor momento de Dragon Ball Z --> Aqui

sirdarckcat

#3
4 Abril 2008, 17:16 PM
Puedes abrir sockets con flash, es una funciòn :P
Busca por ejemplo.. XMLSocket

Saludos!!

IWKY

#4
5 Abril 2008, 02:55 AM
Ok, gracias pero mas bien me referia a si la aplicacion la tengo que hacer yo y aprovechar el XST o la aplicacion flash tiene que estar en la web y aprovechar algun bug del flash para cargar los sockets a la aplicacion de la web.

Un saludo.
Por internet libre http://red-sostenible.net/
El mejor momento de Dragon Ball Z --> Aqui
Imprimir
Ir Arriba Páginas1
Acciones del Usuario