[SOLUCIONADO] Deface por XSS

Iniciado por OverHoax, Marzo 20, 2013, 09:57:18 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Marzo 20, 2013, 09:57:18 PM Ultima modificación: Septiembre 09, 2014, 08:39:58 PM por Expermicid
Hola queria saber si se puede hacer un deface por XSS (Cros-Site-Scripting) y si alguien tiene algún manual de como hacerlo seria de mucha utilidad.

S2  :D
Nunca rechaces aquellos que te aman o se preocupan por ti. Porque algún día entenderás que perdiste la luna mientras contabas las estrellas

Hola OverHoax, si si se puede hacer un deface. El procedimiento seria el siguiente...
Encuentras donde inyectar el script, le robas la cookie al admin, y luego te logueas con ella.

Saludos!


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola OverHoax, si si se puede hacer un deface. El procedimiento seria el siguiente...
Encuentras donde inyectar el script, le robas la cookie al admin, y luego te logueas con ella.

Saludos!
ANTRAX una opcion tambien seria inyectar una meta que actualize en un corto tiempo y que redirija la pagina vulnerable a un sition con index de deface, o no?  :)

Si claro, o tambien colocando un iframe con un fake de la web...
Las alternativas son infinitas!


Gracias por toda su ayuda pero alguien me ayudaría con algún manual?  :D
Nunca rechaces aquellos que te aman o se preocupan por ti. Porque algún día entenderás que perdiste la luna mientras contabas las estrellas

Las opciones que dan de redirigir la pagina o ponerle un frame son validas pero realmente es dificil encontrar una pagina con un xss persistente, en cambio hacerlo no es nada mas que saber html basico.
La opcion que da antrax sobre robar la cookie seria la mas valida pero el ataque seria mas bien un CSRF (cross site request forgery), google it ;]
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
In my mind where before there was order, today there is only chaØs!

Fijate que aca tenes varios manuales

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos!


Gracias

S2
Nunca rechaces aquellos que te aman o se preocupan por ti. Porque algún día entenderás que perdiste la luna mientras contabas las estrellas

Ahí va un tuto, espero q te sirva.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos

Podrías meterle Beef, o sino si es un cms conocido.. podrías tratar de meterle por crsf

Si es un XSS persistente puedes hacer un deface por medio de;
Código: php
<script> document.documentElement.innerHTML=(String.fromCharCode(index en charcode)); </script>