 Autor
|
Tema: practicando xss duda (Leído 7,704 veces)
|
jesusarturoes
 Desconectado
Mensajes: 194
Tu aprenderas a todo lo que le demuestres interes
|
Bueno amigos, andaba practicando xss viendo de un manual algo que se llama xss dom o local, y pues venia un codigo: Hola var pos= document.URL.indexOf("nombre=")+7; document.write(document.URL.substring(pos,document.U RL.length)); Bienvenido a nuestra pagina...
ese era el code lo que hace es bien facil modifica la url asi yo le pongo: http://localhost/xssdom.html?nombre=loquelepongoaquisaleme mostraria: Hola loquelepongoaquisale Bienvenido a nuestra pagina... ahora yo queria checar el xss y le puse: http://localhost/xssdom.html?nombre=<script>alert();</script> y me sale: Hola %3Cscript%3Ealert();%3C/script%3E Bienvenido a nuestra pagina... Ahora el problema esta en el navegador pero ya lo hice con mozilla y chrome ahora como le hago para que el navegador no me modifique el xss y asi pueda hacer la inyeccion y probar ese metodo, se que solo se ejecuta en el navegador pero quiero probar je! un saludo comunidad  PD: No sabia donde publicarlo por eso lo puse aqui en dudas generales jeje |
|
|
|
|
En línea
|
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. |
|
|
adastra
Endless Learner
Ex-Staff
Desconectado
Mensajes: 885
http://thehackerway.com/
|
Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor:
http://www.omegajunior.net/code/javascriptinjection.php
Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT=" application/xhtml+xml ; charset=UTF-8"> [/color]
|
|
|
|
« Última modificación: 5 Julio 2012, 12:59 pm por adastra »
|
En línea
|
|
|
|
jesusarturoes
Desconectado
Mensajes: 194
Tu aprenderas a todo lo que le demuestres interes
|
Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor:
http://www.omegajunior.net/code/javascriptinjection.php
Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT=" application/xhtml+xml ; charset=UTF-8"> [/color] Ok. Te entiendo perfectamente, pero tengo una duda, como le hago para que mi navegador lo acepte no hay una forma de configurarlo? o un navegador que si lo acepte?  solo eso espero me respondas gracias de antemano 
|
|
|
|
|
En línea
|
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. |
|
|
GenR_18
Desconectado
Mensajes: 115
|
Ok. Te entiendo perfectamente, pero tengo una duda, como le hago para que mi navegador lo acepte no hay una forma de configurarlo? o un navegador que si lo acepte? solo eso espero me respondas gracias de antemano A veces el navegador bloquea el "código malicioso", sería simple ir a "Editar" --> "Preferencias" y ahí buscar un poco sobre el tema, qué navegador usas?
|
|
|
|
|
En línea
|
|
|
|
jesusarturoes
Desconectado
Mensajes: 194
Tu aprenderas a todo lo que le demuestres interes
|
A veces el navegador bloquea el "código malicioso", sería simple ir a "Editar" --> "Preferencias" y ahí buscar un poco sobre el tema, qué navegador usas?
firefox o chrome cualquiera de los dos me sirve
|
|
|
|
|
En línea
|
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. |
|
|
jesusarturoes
Desconectado
Mensajes: 194
Tu aprenderas a todo lo que le demuestres interes
|
Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor:
http://www.omegajunior.net/code/javascriptinjection.php
Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT=" application/xhtml+xml ; charset=UTF-8"> [/color] Estuve checando el tema que me pasastes, entonces escanee con live https headers: 
|
|
|
|
|
En línea
|
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. |
|
|
adastra
Endless Learner
Ex-Staff
Desconectado
Mensajes: 885
http://thehackerway.com/
|
Esta bien, pero desde el Live HTTP Headers, intenta quitar el content-type text/html, dejando los dos últimos.
|
|
|
|
|
En línea
|
|
|
|
jesusarturoes
Desconectado
Mensajes: 194
Tu aprenderas a todo lo que le demuestres interes
|
Esta bien, pero desde el Live HTTP Headers, intenta quitar el content-type text/html, dejando los dos últimos.
No me sale ese valor igual lo quise introducir con el tamper data pero nada, tambien introduje el codigo del html del content y nada :/ lo mas probable es que sea mi navegador, instalare uno mas viejito para probar esto, es que tambien el texto que estoy leyendo es un poco viejo jeje saludos
|
|
|
|
|
En línea
|
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. |
|
|
GenR_18
Desconectado
Mensajes: 115
|
El XSS no tiene nada que ver la antiguedad, sin duda es problema con el navegador, lo que ahi que hacer es configurar.
Editar --> Preferencias --> Seguridad
Ahí debe estár, prueba un poco y nos dices.
|
|
|
|
|
En línea
|
|
|
|
jesusarturoes
Desconectado
Mensajes: 194
Tu aprenderas a todo lo que le demuestres interes
|
El XSS no tiene nada que ver la antiguedad, sin duda es problema con el navegador, lo que ahi que hacer es configurar.
Editar --> Preferencias --> Seguridad
Ahí debe estár, prueba un poco y nos dices.
jaja ahi no esta esta aca: Editar>Opciones>Contenido>Bloquear ventanas emergentes Otra cosa que creo que el codigo anterior esta mal o no se puede inyectar con xdd o esta mal formada mi inyeccion xD! bueno saludos y gracias a todos por ayudarme seguire dandole al tema
|
|
|
|
|
En línea
|
Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. |
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Practicando Clases (PHP POO)
PHP
|
bels_mike
|
1
|
1,836
|
2 Febrero 2008, 21:30 pm
por eLank0
|
|
|
|
Practicando con fstream
Programación C/C++
|
anonimo12121
|
3
|
2,762
|
3 Abril 2011, 17:17 pm
por anonimo12121
|
|
|
|
Practicando con PHP y mySQL [Ayuda/consejo]
PHP
|
anonimo12121
|
2
|
2,235
|
1 Abril 2012, 19:07 pm
por anonimo12121
|
|
|
|
Practicando... no logro sniffear, ¿qué hacer?
Hacking Wireless
|
albertopv
|
4
|
4,251
|
26 Junio 2012, 12:41 pm
por -- KiLiaN --
|
|
|
|
Practicando PS: Hago firmas, fondos, logos...
Diseño Gráfico
|
eleon
|
4
|
5,363
|
13 Julio 2012, 03:05 am
por dato000
|
 |
