elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Html Injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: Html Injection  (Leído 19,564 veces)
WebStar

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Html Injection
« en: 18 Noviembre 2007, 15:38 pm »

Bueno, me dieron una idea de hacer un tutorial sobre Html Injection, es muy sencillo, esto consta de hacerle un redireccionami ento a una web, qe al que entre lo mande a la tuya.
Este tipo de inyeccion se puede realizar en los foros que en sus libros de visitas, tengan habilitada la opcion de ingresar codigo html.
Para fijarnos si la web es vulnerable hacemos lo siguiente, ingresamos el siguiente codigo html..

<h1> hola como va??

Si el mensaje se agranda es porque esta web es vulnerable!! :D
Muy facil no??
Bueno, ahora para hacer el redireccionami ento, en el libro de visitas escribimos el siguiente code:

<META HTTP-EQUIV="refresh" CONTENT="1; url=ACA PONES TU URL O CUALQUIERA A LA QUE QUIERAS REDIRECCIONAR">

Y.. eureca!!, establecimos la redireccion :)

Espero que les sirva de algo, y cualquier duda pregunten :D

Salu2.
En línea

_mÙëK§™_


Desconectado Desconectado

Mensajes: 559


Just me in a macro world


Ver Perfil
Re: Html Injection
« Respuesta #1 en: 20 Noviembre 2007, 18:44 pm »

Hola, que tal?

HTML Injection es un nombre alternativo a XSS ( Cross Site Scripting ), para lo cual ya hay aqui un par de manuales muy buenos.

Solo queria hacer esa aclaracion.

Salu2
En línea

sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: Html Injection
« Respuesta #2 en: 20 Noviembre 2007, 19:04 pm »

Pues esque jaja, Cross Site Scripting, es ejecutar cualquier tipo de scripting en el contexto de otro dominio..
en este caso, no se esta usando ningun tipo de scripting, por lo que, en realidad, la vulnerabilidad, aunque es XSS, el ataque es HTML Inyection, aunque en mi opinion es muy tonto hacer un ataque de "HTML Injection" cuando puedes hacer cosas muchisimo mas interesantes con XSS..

Saludos!!
En línea

papanoel_devacaciones


Desconectado Desconectado

Mensajes: 428


Ver Perfil
Re: ja lo voi a intentar
« Respuesta #3 en: 22 Noviembre 2007, 02:02 am »

<h1> hola como va??

  :o :o Evidentemente este foro como la mayoría no son vulnerables a esto  :xD
En línea

sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: Html Injection
« Respuesta #4 en: 22 Noviembre 2007, 03:05 am »

hola como va??
En línea

berz3k
Colaborador
***
Desconectado Desconectado

Mensajes: 1.212



Ver Perfil
Re: Html Injection
« Respuesta #5 en: 23 Noviembre 2007, 03:46 am »


HTML injection?

No es muy productivo injectar simple codigo html y mucho menos hacer un tutorial de ello, mejor bajarme un manual de HTML, yo lo usaria simplemente para "INICIAR" algun tipo de injection ya sea en alguna variable o campo vulnerable, eg:

Código:
</> <color> <bold> 

de ahi tomarlo como punto de "partida" para lograr algun tipo de atauqe XSS, CSRF, Hijacking Cookies etc.


-berz3k.

 

En línea

zhynar_X


Desconectado Desconectado

Mensajes: 515


Use linux my friend...


Ver Perfil WWW
Re: Html Injection
« Respuesta #6 en: 23 Noviembre 2007, 15:48 pm »

Si que podria ser util inyectar HTML, podriamos usarlo para explotar un buffer overflow en el navegador de "la victima", por ejemplo el IExplorer 6.0 que tiene un bug de buffer overflow en la etiqueta iframe.


Saludos!
En línea

Me he creado un blog:
http://zhynar.blogspot.com  Aver si os gusta! ;)


Optimista es aquel que cree poder resolver un atasco de trafico tocando el claxon (Anonimo)
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: Html Injection
« Respuesta #7 en: 23 Noviembre 2007, 19:02 pm »

zhynar_X:
tenía un bug..

Y pues un ataque de ADP es mas explotable que un BoF, y un exploit de BoF lo detectan incluso los antivirus, y un ataque no.. esa es la diferencia de explotación y ataque :P.. webappsec r0x

Saludos!!
En línea

Pablo Videla


Desconectado Desconectado

Mensajes: 2.274



Ver Perfil WWW
Re: Html Injection
« Respuesta #8 en: 23 Noviembre 2007, 20:41 pm »

 :P Bueno, aun quedan libros de visitas vulnerable , aunque la forma es muy tonta ajajja :P y bastante antigua  :-X

Igual a algunos les servira  :rolleyes:

Saludos
En línea

OzX


Desconectado Desconectado

Mensajes: 406

[NuKe] Team


Ver Perfil WWW
Re: Html Injection
« Respuesta #9 en: 23 Noviembre 2007, 23:18 pm »

de todas formas hay diferencias bien grande con el xss hasta donde se XD¡  :xD (los que saben mas de xss decidme xd¡) :-[

los html injections se pueden dejar en el servidor, osea si es un libro de visita este al ser ejecutado por otras personas tambien veran esta injection, el tipico script q salta la ventanita o q se yo.

en cambio el xss solo lo ve kien ejecuta la xss esacta y afecta al usuarios que lo ve y no a todos.. kienes vean la pagina...

En línea

Undersecurity.net
Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Html/javascript Injection
Nivel Web
Dacan 2 5,300 Último mensaje 17 Marzo 2011, 13:49 pm
por Castg!
protegerse de html injection
Nivel Web
Kase 3 3,400 Último mensaje 24 Abril 2011, 01:07 am
por WHK
soluciones simples al injection html y al cros site script
PHP
Kase 4 3,995 Último mensaje 20 Julio 2011, 07:28 am
por WHK
HTML injection (Ataque y Defensa) [Practico]
Nivel Web
2Fac3R 2 6,575 Último mensaje 22 Noviembre 2011, 16:43 pm
por Pablo Videla
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines