elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  2 Dudas acerca de XSS
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: 2 Dudas acerca de XSS  (Leído 1,971 veces)
Asaroth

Desconectado Desconectado

Mensajes: 1



Ver Perfil
2 Dudas acerca de XSS
« en: 21 Abril 2011, 18:35 pm »

He leido varios tutoriales de XSS de esta misma web, pero siempre quedo con las mismas dos interrogantes. Son muy basicas y pueden estar erróneas, lo sé xD pero que mejor manera de aprender que preguntar? ;D espero que alguien pueda sacarme la duda... Tengo entendido que se puede obtener el valor de una cookie remota y enviarlo por correo mediante php, hasta ahi todo bien:
 
<?
php
     $cookie = $_GET["cookie"];
     mail("correo", "Asunto del msj", $cookie);
?>


Es posible que dicho código se ejecute automáticamente al ingresar a una web? (como si fuera un script o algo asi... hablo internamente osea en el propio código html, sin llamar archivos externos)... y al pulsar un botón?Entiendo que PHP se ejecuta del lado del servidor y HTML del lado del cliente, por eso la duda, leí que esto era posible mediante AJAX o algo por el estilo, alguna idea?
 
Por otro lado: No entiendo el porqué del "<script>alert()</script>" ni de ciertas partes del proceso, que el objetivo de un ataque XSS no es que el usuario ingrese y ejecute un cierto código para capturar y enviar la cookie a un tercero? Entonces yo podría crear una página en formato html en un foro (foroactivo por ej. permite crear páginas html que se ejecuten antes del foro) y colocar el código alli... el usuario entra, ejecuta el código y se lo redirecciona a otro foro cualquiera mediante la instrucción:
<META http-equiv=Refresh content='0;URL=www.loquesea.com'> 
es decir que el usuario nunca ingresa al foro original sino que ve la html creada, se capturan las cookies y se lo redirecciona, obiamente podría crearla si yo soy el propietario del foro pero como crear uno allí es gratuito y libre para todos, es cuestión de segundos. La idea es usar XSS sin tener que estar subiendo archivos o enviando links sospechosos, solo el link de un foro propio y un poco de programación web...
es posible atacar así? 

Si estas dos cosas se pudieran hacer sería muy sencillo un XSS no? :huh:
No se si se entendió mi idea XD



Saludos y gracias  ;D

En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.720


$M


Ver Perfil WWW
Re: 2 Dudas acerca de XSS
« Respuesta #1 en: 21 Abril 2011, 20:13 pm »

Recuerdo la frase que me ha motivado durante muchos años... ]Una vulnerabilidad es tan limitada como tu quieras que sea.

El objetivo del XSS es principalmente obtener la cookie del usuario con el fin de suplantarlo. Esto se hace con el ya conocido código -en este caso, sólo la mostramos-.
Código
  1. alert(document.cookie);
Ahora ya para capturarla, -por lo general en un archivo de texto-, se hace mediante PHP y una redicción con JS. Cuando el usuario esté situado y loggeado, se ejecute el XSS, lo redireccione a la pagina PoC, pasando por metodo GET el valor de la cookie.

También con el XSS podéis hacer algo de phishing.
« Última modificación: 21 Abril 2011, 20:17 pm por Shell Root » En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
dudas acerca de un codigo php y html (el archivo tiene extension .php)
Desarrollo Web
jorgeskillet1234 2 1,503 Último mensaje 19 Septiembre 2017, 01:24 am
por handsup
Dudas acerca de vectores en física
Foro Libre
JADP 2 1,256 Último mensaje 16 Septiembre 2017, 21:36 pm
por JADP
Dudas acerca de cierres de llaves en if, limite de lineas etc
Programación C/C++
Beginner Web 7 915 Último mensaje 13 Diciembre 2018, 01:13 am
por CalgaryCorpus
Dudas acerca de graficos en paginas web « 1 2 »
Diseño Gráfico
Beginner Web 13 9,148 Último mensaje 8 Octubre 2020, 19:02 pm
por CarolMega
Dudas acerca de fuentes de poder
Hardware
mark010 4 2,051 Último mensaje 22 Agosto 2020, 09:05 am
por mark010
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines