elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Por qué veo un data:, en la barra de direcciones en algunos navegadores?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Por qué veo un data:, en la barra de direcciones en algunos navegadores?  (Leído 635 veces)
@XSStringManolo
<svg/onload=alert()>
Colaborador
***
Desconectado Desconectado

Mensajes: 2.293


Turn off the red ligth


Ver Perfil WWW
Por qué veo un data:, en la barra de direcciones en algunos navegadores?
« en: 10 Diciembre 2019, 05:26 am »

Haciendo un PoC con un amigo, explotamos una de nuestras aplicaciones con un xss indirecto
con un timer. Yo me puse una cookie en el sitio vulnerable para que el me mandase un link a webmaliciosa. Me dijo, funciona todo correcto. Asique tranquilamente entre en el link para ser vulnerado y en vez de ejecutarse un alert de prueba, me aparece en la barra de direcciones, Data:,
Entonces pienso, si a el se le ejecutó el alert, debe ser cosa de mi navegador (samsung browser con motor chromium). Entonces decido probar el link en un navegador que estoy haciendo en java con motor webkit y no pasa absolutamente nada. Soy redirigido al sitio vulnerable tras el timer, pero no se refleja el script.
Pruebo en Chrome y tarán, el script se ejecuta.

Entonces yo me pregunto, por qué el que se supone como mejor navegador, no me protege de este ataque, y si lo hacen navegadores como el de samsung basado en chromium y el basado en webkit que hice yo? Ni siquiera le tengo el motor updateado, que se lo quiero cambiar.

Es la última versión de Chrome para Android.

Qué significa Data:, ?


No es una crítica a Chrome, me alegro que ejecute los XSS sin protección, a pelo UwU. En PC lo usé bastante, en Android le tienen mucha historia y no me renta usarlo por lo que tira de RAM, red y cpu. Lo tengo más que nada porque tienen siempre la última versión de ES6. Lo que pasa es que no entra en mi cabeza que sí sea vulnerable cuando los otros no. Y sobre todo cuando es común leer por ahí a cerca de como iniciar Chrome sin el antiXSS precisamente para probar vulnerabilidades. Es un bug? Se les olvidó meterlo en Android? Algo más oscuro? UwU.


En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Falsear barra de direcciones del explorador.
Desarrollo Web
hind475 2 1,389 Último mensaje 21 Julio 2010, 06:01 am
por Nakp
Falsear barra de direcciones del navegador.
Dudas Generales
hind475 1 1,585 Último mensaje 20 Julio 2010, 17:27 pm
por invisible_hack
mostar contenido de un directorio (de un sitio web) mediante la barra de direcciones del navegador
Desarrollo Web
chupachota 3 769 Último mensaje 13 Septiembre 2021, 22:36 pm
por MinusFour
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines