Título: practicando xss duda Publicado por: jesusarturoes en 5 Julio 2012, 08:28 am Bueno amigos, andaba practicando xss viendo de un manual algo que se llama xss dom o local, y pues venia un codigo:
Código ese era el code lo que hace es bien facil modifica la url asi yo le pongo: http://localhost/xssdom.html?nombre=loquelepongoaquisale me mostraria: Hola loquelepongoaquisale Bienvenido a nuestra pagina... ahora yo queria checar el xss y le puse: http://localhost/xssdom.html?nombre=<script>alert();</script> y me sale: Hola %3Cscript%3Ealert();%3C/script%3E Bienvenido a nuestra pagina... Ahora el problema esta en el navegador pero ya lo hice con mozilla y chrome ahora como le hago para que el navegador no me modifique el xss y asi pueda hacer la inyeccion y probar ese metodo, se que solo se ejecuta en el navegador pero quiero probar je! un saludo comunidad :D PD: No sabia donde publicarlo por eso lo puse aqui en dudas generales jeje Título: Re: practicando xss duda Publicado por: adastra en 5 Julio 2012, 12:47 pm Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml
Mira lo siguiente para que lo comprendas mejor: http://www.omegajunior.net/code/javascriptinjection.php (http://www.omegajunior.net/code/javascriptinjection.php) Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML <META HTTP-EQUIV="CONTENT-TYPE" CONTENT=" application/xhtml+xml; charset=UTF-8"> [/color]Título: Re: practicando xss duda Publicado por: jesusarturoes en 6 Julio 2012, 04:38 am Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml Mira lo siguiente para que lo comprendas mejor: http://www.omegajunior.net/code/javascriptinjection.php (http://www.omegajunior.net/code/javascriptinjection.php) Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML <META HTTP-EQUIV="CONTENT-TYPE" CONTENT=" application/xhtml+xml; charset=UTF-8"> [/color]Ok. Te entiendo perfectamente, pero tengo una duda, como le hago para que mi navegador lo acepte no hay una forma de configurarlo? o un navegador que si lo acepte? :P solo eso espero me respondas gracias de antemano ;D Título: Re: practicando xss duda Publicado por: GenR_18 en 6 Julio 2012, 06:05 am Ok. Te entiendo perfectamente, pero tengo una duda, como le hago para que mi navegador lo acepte no hay una forma de configurarlo? o un navegador que si lo acepte? :P solo eso espero me respondas gracias de antemano ;D A veces el navegador bloquea el "código malicioso", sería simple ir a "Editar" --> "Preferencias" y ahí buscar un poco sobre el tema, qué navegador usas? Título: Re: practicando xss duda Publicado por: jesusarturoes en 6 Julio 2012, 06:16 am A veces el navegador bloquea el "código malicioso", sería simple ir a "Editar" --> "Preferencias" y ahí buscar un poco sobre el tema, qué navegador usas? firefox o chrome cualquiera de los dos me sirve :PTítulo: Re: practicando xss duda Publicado por: jesusarturoes en 6 Julio 2012, 07:09 am Funcionará dependiendo del navegador web que estes utilizando, en los navegadores más recientes (firefox, opera, chrome) esto no te funcionará si el content-type utilizado es text/hmtl tienes que poner el content-type application/xhtml+xml Mira lo siguiente para que lo comprendas mejor: http://www.omegajunior.net/code/javascriptinjection.php (http://www.omegajunior.net/code/javascriptinjection.php) Por otro lado, para cambiar el content-type de tu página, utilizas la tag META de HTML <META HTTP-EQUIV="CONTENT-TYPE" CONTENT=" application/xhtml+xml; charset=UTF-8"> [/color]Estuve checando el tema que me pasastes, entonces escanee con live https headers: (http://i.imgur.com/nwcN7.png) Título: Re: practicando xss duda Publicado por: adastra en 6 Julio 2012, 09:11 am Esta bien, pero desde el Live HTTP Headers, intenta quitar el content-type text/html, dejando los dos últimos.
Título: Re: practicando xss duda Publicado por: jesusarturoes en 6 Julio 2012, 09:31 am Esta bien, pero desde el Live HTTP Headers, intenta quitar el content-type text/html, dejando los dos últimos. No me sale ese valor igual lo quise introducir con el tamper data pero nada, tambien introduje el codigo del html del content y nada :/ lo mas probable es que sea mi navegador, instalare uno mas viejito para probar esto, es que tambien el texto que estoy leyendo es un poco viejo jeje saludosTítulo: Re: practicando xss duda Publicado por: GenR_18 en 6 Julio 2012, 18:54 pm El XSS no tiene nada que ver la antiguedad, sin duda es problema con el navegador, lo que ahi que hacer es configurar.
Editar --> Preferencias --> Seguridad Ahí debe estár, prueba un poco y nos dices. Título: Re: practicando xss duda Publicado por: jesusarturoes en 7 Julio 2012, 03:55 am El XSS no tiene nada que ver la antiguedad, sin duda es problema con el navegador, lo que ahi que hacer es configurar. jaja ahi no esta esta aca:Editar --> Preferencias --> Seguridad Ahí debe estár, prueba un poco y nos dices. Editar>Opciones>Contenido>Bloquear ventanas emergentes Otra cosa que creo que el codigo anterior esta mal o no se puede inyectar con xdd o esta mal formada mi inyeccion xD! bueno saludos y gracias a todos por ayudarme seguire dandole al tema :D Título: Re: practicando xss duda Publicado por: GenR_18 en 7 Julio 2012, 19:41 pm La verdad es casi no entiendo (aun xD) javascript, prueba asi:
Código
Si te sale la alerta es porque está mal tu código, sino es por el navegador. Suerte. Título: Re: practicando xss duda Publicado por: jesusarturoes en 7 Julio 2012, 20:29 pm La verdad es casi no entiendo (aun xD) javascript, prueba asi: Código
Si te sale la alerta es porque está mal tu código, sino es por el navegador. Suerte. creo que es el codigo por que probe con: Código
y en nombre puse el xss y funciona :P :D saludos y gracias a todos :D |