elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  practicando xss duda
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: practicando xss duda  (Leído 8,371 veces)
jesusarturoes

Desconectado Desconectado

Mensajes: 194


Tu aprenderas a todo lo que le demuestres interes


Ver Perfil WWW
practicando xss duda
« en: 5 Julio 2012, 08:28 am »

Bueno amigos, andaba practicando xss viendo de un manual algo que se llama xss dom o local, y pues venia un codigo:

Código
  1. <title>Bienvenido!</title>
  2. Hola
  3. var pos= document.URL.indexOf("nombre=")+7;
  4. document.write(document.URL.substring(pos,document.U
  5.  
  6. RL.length));
  7. <br />
  8. Bienvenido a nuestra pagina...
  9. </html>

ese era el code lo que hace es bien facil modifica la url asi yo le pongo:

http://localhost/xssdom.html?nombre=loquelepongoaquisale

me mostraria:

Hola loquelepongoaquisale
Bienvenido a nuestra pagina...

ahora yo queria checar el xss y le puse:

http://localhost/xssdom.html?nombre=<script>alert();</script>

y me sale:

Hola %3Cscript%3Ealert();%3C/script%3E
Bienvenido a nuestra pagina...

Ahora el problema esta en el navegador pero ya lo hice con mozilla y chrome ahora como le hago para que el navegador no me modifique el xss y asi pueda hacer la inyeccion y probar ese metodo, se que solo se ejecuta en el navegador pero quiero probar je! un saludo comunidad :D


PD: No sabia donde publicarlo por eso lo puse aqui en dudas generales jeje
En línea

Código:
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber.
adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: practicando xss duda
« Respuesta #1 en: 5 Julio 2012, 12:47 pm »

Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor:




http://www.omegajunior.net/code/javascriptinjection.php



Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML


<META HTTP-EQUIV="CONTENT-TYPE"
CONTENT="
application/xhtml+xml
; charset=UTF-8">
[/color]

 
 
« Última modificación: 5 Julio 2012, 12:59 pm por adastra » En línea

jesusarturoes

Desconectado Desconectado

Mensajes: 194


Tu aprenderas a todo lo que le demuestres interes


Ver Perfil WWW
Re: practicando xss duda
« Respuesta #2 en: 6 Julio 2012, 04:38 am »

Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor:




http://www.omegajunior.net/code/javascriptinjection.php



Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML


<META HTTP-EQUIV="CONTENT-TYPE"
CONTENT="
application/xhtml+xml
; charset=UTF-8">
[/color]

 
 


Ok. Te entiendo perfectamente, pero tengo una duda, como le hago para que mi navegador lo acepte no hay una forma de configurarlo? o un navegador que si lo acepte? :P solo eso espero me respondas gracias de antemano  ;D
En línea

Código:
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber.
GenR_18

Desconectado Desconectado

Mensajes: 115


Ver Perfil
Re: practicando xss duda
« Respuesta #3 en: 6 Julio 2012, 06:05 am »

Ok. Te entiendo perfectamente, pero tengo una duda, como le hago para que mi navegador lo acepte no hay una forma de configurarlo? o un navegador que si lo acepte? :P solo eso espero me respondas gracias de antemano  ;D

A veces el navegador bloquea el "código malicioso", sería simple ir a "Editar" --> "Preferencias" y ahí buscar un poco sobre el tema, qué navegador usas?
En línea

jesusarturoes

Desconectado Desconectado

Mensajes: 194


Tu aprenderas a todo lo que le demuestres interes


Ver Perfil WWW
Re: practicando xss duda
« Respuesta #4 en: 6 Julio 2012, 06:16 am »

A veces el navegador bloquea el "código malicioso", sería simple ir a "Editar" --> "Preferencias" y ahí buscar un poco sobre el tema, qué navegador usas?
firefox o chrome cualquiera de los dos me sirve :P
En línea

Código:
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber.
jesusarturoes

Desconectado Desconectado

Mensajes: 194


Tu aprenderas a todo lo que le demuestres interes


Ver Perfil WWW
Re: practicando xss duda
« Respuesta #5 en: 6 Julio 2012, 07:09 am »

Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor:




http://www.omegajunior.net/code/javascriptinjection.php



Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML


<META HTTP-EQUIV="CONTENT-TYPE"
CONTENT="
application/xhtml+xml
; charset=UTF-8">
[/color]

 
 


Estuve checando el tema que me pasastes, entonces escanee con live https headers:
En línea

Código:
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber.
adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: practicando xss duda
« Respuesta #6 en: 6 Julio 2012, 09:11 am »

Esta bien, pero desde el Live HTTP Headers, intenta quitar el content-type text/html, dejando los dos últimos.
En línea

jesusarturoes

Desconectado Desconectado

Mensajes: 194


Tu aprenderas a todo lo que le demuestres interes


Ver Perfil WWW
Re: practicando xss duda
« Respuesta #7 en: 6 Julio 2012, 09:31 am »

Esta bien, pero desde el Live HTTP Headers, intenta quitar el content-type text/html, dejando los dos últimos.

No me sale ese valor igual lo quise introducir con el tamper data pero nada, tambien introduje el codigo del html del content y nada :/ lo mas probable es que sea mi navegador, instalare uno mas viejito para probar esto, es que tambien el texto que estoy leyendo es un poco viejo jeje saludos
En línea

Código:
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber.
GenR_18

Desconectado Desconectado

Mensajes: 115


Ver Perfil
Re: practicando xss duda
« Respuesta #8 en: 6 Julio 2012, 18:54 pm »

El XSS no tiene nada que ver la antiguedad, sin duda es problema con el navegador, lo que ahi que hacer es configurar.

Editar --> Preferencias --> Seguridad

Ahí debe estár, prueba un poco y nos dices.
En línea

jesusarturoes

Desconectado Desconectado

Mensajes: 194


Tu aprenderas a todo lo que le demuestres interes


Ver Perfil WWW
Re: practicando xss duda
« Respuesta #9 en: 7 Julio 2012, 03:55 am »

El XSS no tiene nada que ver la antiguedad, sin duda es problema con el navegador, lo que ahi que hacer es configurar.

Editar --> Preferencias --> Seguridad

Ahí debe estár, prueba un poco y nos dices.

jaja ahi no esta esta aca:
Editar>Opciones>Contenido>Bloquear ventanas emergentes

Otra cosa que creo que el codigo anterior esta mal o no se puede inyectar con xdd o esta mal formada mi inyeccion xD! bueno saludos y gracias a todos por ayudarme seguire dandole al tema :D
En línea

Código:
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber.
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Practicando Clases (PHP POO)
PHP
bels_mike 1 1,965 Último mensaje 2 Febrero 2008, 21:30 pm
por eLank0
Practicando con fstream
Programación C/C++
anonimo12121 3 3,028 Último mensaje 3 Abril 2011, 17:17 pm
por anonimo12121
Practicando con PHP y mySQL [Ayuda/consejo]
PHP
anonimo12121 2 2,401 Último mensaje 1 Abril 2012, 19:07 pm
por anonimo12121
Practicando... no logro sniffear, ¿qué hacer?
Hacking Wireless
albertopv 4 4,504 Último mensaje 26 Junio 2012, 12:41 pm
por -- KiLiaN --
Practicando PS: Hago firmas, fondos, logos...
Diseño Gráfico
eleon 4 5,684 Último mensaje 13 Julio 2012, 03:05 am
por dato000
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines