Problema con XSS

Tema destacado: Únete al Grupo Steam elhacker.NET

Foro de elhacker.net

Seguridad Informática

Bugs y Exploits

Nivel Web (Moderadores: sirdarckcat, WHK)

Problema con XSS

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1] 2

Autor

Tema: Problema con XSS (Leído 3,528 veces)

Debci

Wiki

Desconectado

Mensajes: 1.945

Actualizate o muere!

Problema con XSS

« en: 15 Noviembre 2009, 15:18 »

Hola amigos, he llegado a la conclusion, por scaner, de que un servidor es vulnerable a injecion html, me dice que ejecute lo siguiente:

Código:

/k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJUBddfBVi0tGWNFa0P3F4NsgtePjkC8vDbf3DmKfmlyYeBmhJvMiVNtjv0yVmNqkx7V5HHIbs0o59lMP4i2DgQPc0H94Pf0ROFuXFMwJHiI7LUluaVrViT29otAu5hXvq3H27e15TBX2fyMjP<font%20size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection

como directorio (supongo), pero al ejecutarlo obetngo lo siguiente:

Código:

Forbidden

You don't have permission to access /k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJUBddfBVi0tGWNFa0P3F4NsgtePjkC8vDbf3DmKfmlyYeBmhJvMiVNtjv0yVmNqkx7V5HHIbs0o59lMP4i2DgQPc0H94Pf0ROFuXFMwJHiI7LUluaVrViT29otAu5hXvq3H27e15TBX2fyMjP<font size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection on this server.
Apache/2.2.8 (Win32) PHP/5.2.6 Server at *****.com Port 80

que estoy haciendo mal? ES uno de los conocidos fallos del servidor?

Saludos


	En línea

Juega a este pedazo de MMORPG y consigue premios registrandote como referido mio! League of Legends

jdc

Desconectado

Mensajes: 3.253

janito dos cuatro...

Re: Problema con XSS

« Respuesta #1 en: 15 Noviembre 2009, 16:28 »

Lo que estas haciendo mal es usar un scaner... Fíjate que estas inyectando y no lo llámes html inyection sino xss xD sino WHK te castigará ja ja ja


	En línea

Aplicaciones para Android

Debci

Wiki

Desconectado

Mensajes: 1.945

Actualizate o muere!

Re: Problema con XSS

« Respuesta #2 en: 15 Noviembre 2009, 16:39 »

XDDDD
No me pegues whk xDD

Saludos


	En línea

Juega a este pedazo de MMORPG y consigue premios registrandote como referido mio! League of Legends

Castg!

Wiki

Desconectado

Mensajes: 1.187

Re: Problema con XSS

« Respuesta #3 en: 15 Noviembre 2009, 16:59 »

podrias facilitarnos la web con la inyeccion? ahi me parece que te podria ayudar un poco


	En línea

Creiste que mi firma había muerto? NO! Volvió, y en forma de fichas!

link al último código de la firma

Debci

Wiki

Desconectado

Mensajes: 1.945

Actualizate o muere!

Re: Problema con XSS

« Respuesta #4 en: 15 Noviembre 2009, 17:50 »

¬¬
No no puedo...
seria poco ético dar la web y una injecion....

Saludos


	En línea

Juega a este pedazo de MMORPG y consigue premios registrandote como referido mio! League of Legends

jdc

Desconectado

Mensajes: 3.253

janito dos cuatro...

Re: Problema con XSS

« Respuesta #5 en: 15 Noviembre 2009, 18:03 »

Pues entonces solucionalo sólo, xD y deja de usar scaners pierdes lo entretenido

que gracia tiene abrir un programa, hacer 2 clicks, esperar y que te diga... Ah... Eres h4x0r juankeala así xD


	En línea

Aplicaciones para Android

WHK

吴阿卡
Moderador

Desconectado

Mensajes: 4.113

The Hacktivism is not a crime

Re: Problema con XSS

« Respuesta #6 en: 15 Noviembre 2009, 18:18 »

jajaja lo que pasa es que el servidor de seguro utiliza mod_security y en una de sus reglas filtra algún carácter especial que pusiste ahi.

No necesitas insertar un chorro de caracteres al inicio, solo basta con probar con '"<> y ves si se muestra en el código fuente o no y ahi ves si recien puedes inyectar código.

Supongo que como es html inyeccion no podrás inyectar javascript porque seria javascript inyeccion xD


	En línea

Mi foro Ultra Off-Topics: http://whk.drawcoders.com/foro/

Gracias a todos! Good bye!

jdc

Desconectado

Mensajes: 3.253

janito dos cuatro...

Re: Problema con XSS

« Respuesta #7 en: 15 Noviembre 2009, 19:34 »

bueno entonces haz lo siguiente, en la direccion que es supuestamente vulnerable escribe:

http://sitiovulnerable.com/holi.php?<h1>holi

o

http://sitiovulnerable.com/holi.php"><h1>holi

o

http://sitiovulnerable.com/holi.php'<h1>holi

o

http://sitiovulnerable.com/holi.php'"<h1>holi

o

http://sitiovulnerable.com/holi.php...etc ¬¬

Es lo que hace el scaner pero mal, a el no se le ocurren cosas nuevas a ti si

Citar

Supongo que como es html inyeccion no podrás inyectar ‭‬javascript porque seria ‭‬javascript inyeccion xD

seeeeee llamalo xss ¬¬


	En línea

Aplicaciones para Android

fede_cp

Desconectado

Mensajes: 526

"porque pensar nunca fue entender"

Re: Problema con XSS

« Respuesta #8 en: 15 Noviembre 2009, 20:02 »

jajaja, me encante el foro de seguridad a nivel web, siempre el termino de las 12354 temrinologias jajaja

saludos y a no uzar tanto scanners y mas el bocho!


	En línea

somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!

alexkof158

Desconectado

Mensajes: 413

LOL

Re: Problema con XSS

« Respuesta #9 en: 16 Noviembre 2009, 00:47 »

cuales scanner usan para buscar vulnerabilidades, cuales son mas eficaces y mas veracess??? :huh:

saludos


	En línea

WHK

吴阿卡
Moderador

Desconectado

Mensajes: 4.113

The Hacktivism is not a crime

Re: Problema con XSS

« Respuesta #10 en: 16 Noviembre 2009, 02:15 »

alexcof se nota que ni si quiera te has tomado la molestia de leer el post. si buscas automatizacion nunca vas a encontrar la mayoría de los bugs de una web.

escaneadores hay muchos:
http://www.google.com/search?hl=es&site=&q=escaneador+de+vulnerabilidades+web&btnG=Buscar&lr=

los mas conocidos son nstalker, sss, nikito y en fin.


	En línea

Mi foro Ultra Off-Topics: http://whk.drawcoders.com/foro/

Gracias a todos! Good bye!

Castg!

Wiki

Desconectado

Mensajes: 1.187

Re: Problema con XSS

« Respuesta #11 en: 16 Noviembre 2009, 02:40 »

Citar

Supongo que como es html inyeccion no podrás inyectar ‭‬javascript porque seria ‭‬javascript inyeccion xD

pero whk, con un simple "<script>" ya podes inyectar js. lo dijiste jodiendo?


	En línea

Creiste que mi firma había muerto? NO! Volvió, y en forma de fichas!

link al último código de la firma

jdc

Desconectado

Mensajes: 3.253

janito dos cuatro...

Re: Problema con XSS

« Respuesta #12 en: 16 Noviembre 2009, 03:35 »

Cita de: castg en 16 Noviembre 2009, 02:40

Citar

Supongo que como es html inyeccion no podrás inyectar ‭‬‭‬‭‬javascript porque seria ‭‬‭‬‭‬javascript inyeccion xD

pero whk, con un simple "<script>" ya podes inyectar js. lo dijiste jodiendo?

HTML INYECTION = Inyectar HTML xD

Es por esto que prefiere llamarlo XSS ya que puedes inyectar tanto javascript como html...


	En línea

Aplicaciones para Android

YST

Desconectado

Mensajes: 963

I'm you

Re: Problema con XSS

« Respuesta #13 en: 16 Noviembre 2009, 04:00 »

El bug se llama Cross-site scripting ¬_¬

Lean esto

http://es.wikipedia.org/wiki/Cross-site_scripting


	En línea

Yo le enseñe a Kayser a usar objetos en ASM

Darioxhcx

Desconectado

Mensajes: 2.150

Re: Problema con XSS

« Respuesta #14 en: 16 Noviembre 2009, 05:40 »

ah pero si no es necesario poner todo eso creo..

k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJ

base 64 ?
wtf
'><h1>laksdaksa (?
xDDD

mira el codigo fuente...

Cita de: YST en 16 Noviembre 2009, 04:00

El bug se llama Cross-site scripting ¬_¬

Lean esto

http://es.wikipedia.org/wiki/Cross-site_scripting

jaja tremenda discucion de como se llama.. yo lo llamo , web q acepta etiketas html y js (?
xDDDDDDDDD

saludos


	En línea

Páginas: [1] 2

Ir a: