|
Título: DOM-based Cross-Site Scripting Publicado por: .:UND3R:. en 26 Junio 2011, 04:52 am DOM-based Cross-Site Scripting
ejemplos?,tutoriales diferencia con xss normales Gracias Título: Re: DOM-based Cross-Site Scripting Publicado por: ipwn en 24 Noviembre 2011, 04:51 am leer mi tutorial escrito en portugués (translate.google.com)
Título: Re: DOM-based Cross-Site Scripting Publicado por: WHK en 24 Noviembre 2011, 16:04 pm Es cuando atraves del DOM puedes hacer ejecución de código, por ejemplo digamos que la url dice:
http://test.com/#buscar Ahora la palabra buscar puede ser utilizada para pasarla como parámetro en un buscador, pero que pasa si dentro de el código javascript hay un fallo que permite la ejecución de código? http://test.com/#buscar');alert('0 podrías ejecutar código, inyectar variables, etc. todo depende de como esté hecho el script. Un ejemplo práctico: https://foro.elhacker.net/noticias/cross_site_scripting_en_jquery_16-t338686.0.html http://ma.la/jquery_xss/#<img src=/ onerror=aler(1)> (http://ma.la/jquery_xss/#<img src=/ onerror=aler(1)>) Al final, es un xss, solo que la inyección no se escribirá en el código que entrega el servidor sino que juegas con lo que hay sin la necesidad de que el mismo servidor te entregue un código defectuoso. Esto es útil en el caso de servidores con sistemas de protección y filtros como phpids y auditorias snort. |