Título: Problema con XSS Publicado por: Debci en 15 Noviembre 2009, 15:18 pm Hola amigos, he llegado a la conclusion, por scaner, de que un servidor es vulnerable a injecion html, me dice que ejecute lo siguiente:
Código: /k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJUBddfBVi0tGWNFa0P3F4NsgtePjkC8vDbf3DmKfmlyYeBmhJvMiVNtjv0yVmNqkx7V5HHIbs0o59lMP4i2DgQPc0H94Pf0ROFuXFMwJHiI7LUluaVrViT29otAu5hXvq3H27e15TBX2fyMjP<font%20size=50>DEFACED<!--//--: MyWebServer 1.0.2 is vulnerable to HTML injection como directorio (supongo), pero al ejecutarlo obetngo lo siguiente: Código: Forbidden que estoy haciendo mal? ES uno de los conocidos fallos del servidor? Saludos Título: Re: Problema con XSS Publicado por: jdc en 15 Noviembre 2009, 16:28 pm Lo que estas haciendo mal es usar un scaner... Fíjate que estas inyectando y no lo llámes html inyection sino xss xD sino WHK te castigará ja ja ja
Título: Re: Problema con XSS Publicado por: Debci en 15 Noviembre 2009, 16:39 pm XDDDD
No me pegues whk xDD Saludos Título: Re: Problema con XSS Publicado por: Castg! en 15 Noviembre 2009, 16:59 pm podrias facilitarnos la web con la inyeccion? ahi me parece que te podria ayudar un poco
Título: Re: Problema con XSS Publicado por: Debci en 15 Noviembre 2009, 17:50 pm ¬¬
No no puedo... seria poco ético dar la web y una injecion.... Saludos Título: Re: Problema con XSS Publicado por: jdc en 15 Noviembre 2009, 18:03 pm Pues entonces solucionalo sólo, xD y deja de usar scaners pierdes lo entretenido :) que gracia tiene abrir un programa, hacer 2 clicks, esperar y que te diga... Ah... Eres h4x0r juankeala así xD
Título: Re: Problema con XSS Publicado por: WHK en 15 Noviembre 2009, 18:18 pm (http://sonicando.files.wordpress.com/2008/10/rabia.jpg)
jajaja lo que pasa es que el servidor de seguro utiliza mod_security y en una de sus reglas filtra algún carácter especial que pusiste ahi. No necesitas insertar un chorro de caracteres al inicio, solo basta con probar con '"<> y ves si se muestra en el código fuente o no y ahi ves si recien puedes inyectar código. Supongo que como es html inyeccion no podrás inyectar javascript porque seria javascript inyeccion xD Título: Re: Problema con XSS Publicado por: jdc en 15 Noviembre 2009, 19:34 pm bueno entonces haz lo siguiente, en la direccion que es supuestamente vulnerable escribe:
http://sitiovulnerable.com/holi.php?<h1>holi o http://sitiovulnerable.com/holi.php"><h1>holi o http://sitiovulnerable.com/holi.php'<h1>holi o http://sitiovulnerable.com/holi.php'"<h1>holi o http://sitiovulnerable.com/holi.php...etc ¬¬ Es lo que hace el scaner pero mal, a el no se le ocurren cosas nuevas a ti si :D Citar Supongo que como es html inyeccion no podrás inyectar javascript porque seria javascript inyeccion xD seeeeee llamalo xss ¬¬ Título: Re: Problema con XSS Publicado por: fede_cp en 15 Noviembre 2009, 20:02 pm jajaja, me encante el foro de seguridad a nivel web, siempre el termino de las 12354 temrinologias jajaja
saludos y a no uzar tanto scanners y mas el bocho! Título: Re: Problema con XSS Publicado por: alexkof158 en 16 Noviembre 2009, 00:47 am cuales scanner usan para buscar vulnerabilidades, cuales son mas eficaces y mas veracess??? :huh:
saludos Título: Re: Problema con XSS Publicado por: WHK en 16 Noviembre 2009, 02:15 am alexcof se nota que ni si quiera te has tomado la molestia de leer el post. si buscas automatizacion nunca vas a encontrar la mayoría de los bugs de una web.
escaneadores hay muchos: http://www.google.com/search?hl=es&site=&q=escaneador+de+vulnerabilidades+web&btnG=Buscar&lr= los mas conocidos son nstalker, sss, nikito y en fin. Título: Re: Problema con XSS Publicado por: Castg! en 16 Noviembre 2009, 02:40 am Citar Supongo que como es html inyeccion no podrás inyectar javascript porque seria javascript inyeccion xD pero whk, con un simple "<script>" ya podes inyectar js. lo dijiste jodiendo?Título: Re: Problema con XSS Publicado por: jdc en 16 Noviembre 2009, 03:35 am Citar Supongo que como es html inyeccion no podrás inyectar javascript porque seria javascript inyeccion xD pero whk, con un simple "<script>" ya podes inyectar js. lo dijiste jodiendo?HTML INYECTION = Inyectar HTML xD Es por esto que prefiere llamarlo XSS ya que puedes inyectar tanto javascript como html... Título: Re: Problema con XSS Publicado por: YST en 16 Noviembre 2009, 04:00 am El bug se llama Cross-site scripting ¬_¬
Lean esto :P http://es.wikipedia.org/wiki/Cross-site_scripting Título: Re: Problema con XSS Publicado por: Darioxhcx en 16 Noviembre 2009, 05:40 am ah pero si no es necesario poner todo eso creo..
k4KX2kZIUbAKEoyVDYVni3REhNfDl2MZJ69toj5WOCSLG9JQadQWH2HdZ9vrxAD01LvJIivIdZhLcEJ base 64 ? wtf '><h1>laksdaksa (? xDDD mira el codigo fuente... El bug se llama Cross-site scripting ¬_¬ jaja tremenda discucion de como se llama.. yo lo llamo , web q acepta etiketas html y js (?Lean esto :P http://es.wikipedia.org/wiki/Cross-site_scripting xDDDDDDDDD saludos Título: Re: Problema con XSS Publicado por: jdc en 16 Noviembre 2009, 05:47 am Ja ja ja seee al final es la página donde podemos agregar "cuestiones" xD
|