Mensajes

o sea que si mi web tiene xss la atacarías con muchos "<br />" ? 

no necesitas instalarlo, para eso está el demo.

la idea no es lanzar solo un <h1>hola</h1> porque puedes seleccionar la opción que dice "Harmless HTML is allowed" y habilitar contenido html, pero intenta realizar un ataque como si realmente quisieras obtener la cookie del lugar o algo similar.

40 dias a contar de hoy

acá mismo xD y si quieres en el correo de contacto de phpids

Usa la c99
http://r57.gen.tr/99.txt

Para que solo tu puedas acceder recuerda configurar tus datos de acceso:

Código (php) [Seleccionar] Expandir

$login = "c99"; //login
//DON'T FORGOT ABOUT CHANGE PASSWORD!!!
$pass = "c99"; //password
$md5_pass = ""; //md5-cryped pass. if null, md5($pass)


Bueno, yo encontré uno para que se motiven y vean que no es imposible:

Código [Seleccionar] Expandir

a = 0
b = 9999
var c
d = 1
for(c=a;c<=b;c++)
c=d

Esto al ejecutarse dentro de

Código (php) [Seleccionar] Expandir

<script><?php echo $_POST['test']; ?></script>

Causa un DoS al explorador a causa del loop infinito que se provoca. PHP-IDS filtra if(), while(), etc pero menos for().
Por suerte Firefox dentro de unos segundos sale la alerta de prevención de ataque pero php-ids no debería permitirlo ya que puede crashear otros exploradores que no son tan seguros.

Además sdc ha encontrado en muchas veces varios xss y varias personas mas, por eso php-ids siempre está en actualización asi que vamos que no es imposible!

[Can You Hack?]

Can You Hack?
Tiro al blanco con PHP-IDS

CYH es un evento donde todos los usuarios del foro pueden participar y ganar premios y realizar todo tipo de retos

Premio
El que mas inyecciones logre realizar en PHP-IDS sobre diferentes reglas se ganará una cuenta sunick@elhacker.net

Fecha de término
30 Abril 2010

Personas que han acertado en el blanco

• WHK (DoS) [Cantidad: 1] [No participante]

En esta ocación le daremos de tiro al blanco a PHP-IDS, un sistema muy similar a htmlpurifier, un sistema que filtra todo intento de ataque haciendo que una aplicación WEB sea mas segura pero no impenetrable.
http://php-ids.org/

El demo está en este lugar:
http://demo.php-ids.org/

La idea es poder inyectar agún tipo de código maligno que pueda afectar la seguridad de tu aplicación WEB o hacer que aparezca una ejecución de código en javascript.
Al escribir tu inyección en la caja de texto que aparece en el demo se testeará de múltiples formas:

Código (php) [Seleccionar] Expandir

<table id="clean">
<tr>
 <td><strong>HTML injection</strong></td>
 <td><?php echo $_POST['test']; ?></td>
</tr>
<tr>
 <td><strong>a href and onclick doublequoted</strong></td>
 <td><a onclick="<?php echo $_POST['test']; ?>" href="?test=<?php echo $_POST['test']; ?>">click</a></td>
</tr>
<tr>
 <td><strong>a href and onclick singlequoted</strong></td>
 <td><a onclick='<?php echo $_POST['test']; ?>' href='?test=<?php echo $_POST['test']; ?>'>click</a></td>
</tr>
<tr>
 <td><strong>a href and onlclick no quotes</strong></td>
 <td><a onclick=<?php echo $_POST['test']; ?> href=?test=<?php echo $_POST['test']; ?>>click</a></td>
</tr>
<tr>
 <td><strong>script tags</strong></td>
 <td><script><?php echo $_POST['test']; ?></script></td>
</tr>
</table>

Cuando PHP-IDS detecta un intento de ataque te detendrá y mostrará las reglas en expresión regular que impidió su ejecución.

Claramente yo y sdc nos excluimos de los premios pero no del concurso asi que nosotros no contamos para la decisión final del ganador.

[MSSQL]

Hola, la diferencia de una inyección MySQL y MSSQL es que en MSSQL la mayoría de las veces si no tienes la forma de devolver datos puedes forzar errores y que te debuelvan cosas que tu quieras.

En MySQL no puedes por ejemplo hacer dos select, digamos que la query "select * from test where id = $_GET[id]", en ese caso id no puede transformarse en otra query como lo hace mssql "where id = (select id from x limit 1)".

Ahora, como en mssql podemos encerrar nuevas querys una dentro de otra forzamos a que nos mande error y eso lo podemos lograr con la función "convert()" y hay muchas mas, ahora decimos que convert deve aceptar solo numeros integers:

Código [Seleccionar] Expandir

CONVERT(int, test)

Con eso decimos que test debe ser obligadamente integer, pero que pasa si le entregamos un valor que no sea un número?

Código [Seleccionar] Expandir

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Error de sintaxis al convertir el
valor nvarchar 'A35678956' para una columna de tipo de datos int.

/cgi-bin/datos.asp, línea 25

Entonces donde está la inyección le enviamos el convert y hacemos la query de la columna que queremos sacar.

Digamos que atraves de errores ya sacaste las tablas, puedes ir intentando con havving como explicaron mas arriba y con eso ya obtienes las tablas y columnas y puedes comenzar a hacer querys a cada valor que te pueda interesar.
Por ejemplo

Código [Seleccionar] Expandir

test.asp?id=convert(int, (select password from usuarios where nick = 'admin')) --

Se entiende correctamente, pero lo dudo bastante, dentro de MySQL seh se puede hacer. Pero dentro de este tipo de inyeccion se trabaja bajo MSSQL, si te sirve de algo, esta consulta lista todas las tablas de una base de datos.

Código (sql) [Seleccionar] Expandir

USE Base_de_Datos SELECT * FROM Information_Schema.Tables

schema no existe en mssql.
Saludos.

no puedes acceder al DOM de un iframe desde javascript debido a los sistemas de protección del explorador.
que yo sepa ningún explorador te va a dejar hacer eso a menos que encuentres un nuevo bug.

http://es.wikipedia.org/wiki/OWASP

Fuente original:
http://ha.ckers.org/weird/xss-password-manager.html