|
Título: XST (Cross Site Tracing) Publicado por: IWKY en 3 Abril 2008, 01:44 am Bueno he encontrado una web con este tipo de bug, he mirado en wikipedia pero no da mucha info, mas bien dice que es una variante del XSS pero no se aplica al html sino al server atrabes de los parametros de debug, y aqui en el foro tampoco es que vayamos sobrados, solo he encontrado un post referente a XST en 9000 dias de busqueda.
Alguien sabe algo de este tipo de bug?, o poner algun ejemplillo basico para captar la idea, yo he encontrado este pdf http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf (http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf) y voy ha empezar a leerlo ya que esta en ingles y me cuesta un poco, y atodo esto ¿porque hay tan poca info sobre este bug? Bueno ya direis algo un saludo. EDITO Un codigo que he encontrado por el web. Código: TRACE / HTTP/1.1 EDITO 2: Con el codigo de arriba junto con el nc he podido ejecutar el script, basicamente lo que faltaria seria como poder aprobecharlo para obtener cookies. Título: Re: XST (Cross Site Tracing) Publicado por: sirdarckcat en 3 Abril 2008, 05:37 am no se pueden obtener cookies con los navegadores mas actuales.
Java y Flash permiten abrir y manipular sockets, pero no mandan cookies. Saludos!! Título: Re: XST (Cross Site Tracing) Publicado por: IWKY en 3 Abril 2008, 20:51 pm y para abrir los sockets me hace falta que la aplicacion flash este preparada para ello o se tiene que aprovechar tambien algun fallo de la aplicacion.
Un saludo. Título: Re: XST (Cross Site Tracing) Publicado por: sirdarckcat en 4 Abril 2008, 17:16 pm Puedes abrir sockets con flash, es una funciòn :P
Busca por ejemplo.. XMLSocket Saludos!! Título: Re: XST (Cross Site Tracing) Publicado por: IWKY en 5 Abril 2008, 02:55 am Ok, gracias pero mas bien me referia a si la aplicacion la tengo que hacer yo y aprovechar el XST o la aplicacion flash tiene que estar en la web y aprovechar algun bug del flash para cargar los sockets a la aplicacion de la web.
Un saludo. |