[SOLUCIONADO] Ayuda. Cross Site Scripting

Iniciado por Helper, Junio 25, 2011, 02:40:34 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 25, 2011, 02:40:34 AM Ultima modificación: Febrero 04, 2015, 10:17:00 PM por Expermicid
analizo esta pagina No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y me marca esto
_____________________________

Vulnerability description
This script is possibly vulnerable to Cross Site Scripting (XSS) attacks.

Cross site scripting (also referred to as XSS) is a vulnerability that allows an attacker to send malicious code (usually in the form of Javascript) to another user. Because a browser cannot know if the script should be trusted or not, it will execute the script in the user context allowing the attacker to access any cookies or session tokens retained by the browser.
This vulnerability affects /index.php/highscores.ide.
Discovered by: Scripting (XSS.script).

Attack details
URL encoded POST input skill was set to " onmouseover=prompt(995506) bad="
The input is reflected inside a tag element between double quotes.

____________________________________________________________________

Alguen me enseña a como explotarla porfavor
Junio 25, 2011, 01:43:28 PM #1
Lee manuales sobre vulnerabilidades XSS (Cross Site Scripting). Aca te dejo algunos, debes buscar otros mas completos.

Mas allá del alert();
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Defacear web con XSS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Encuentra fallos XSS facilmente
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Basicamente, este ataque consta de inyectar código de tipo HTML o JAVASCRIPT para que el sitio web lo muestre, este error sucede cuando no se utilizan las etiquetas adecuadas y no se cierran correctamente las entradas.

Saludos!
Julio 07, 2011, 12:38:35 PM #2
Bueno, te resumo como se explota la vulnerabilidad.

XSS, se trata simplemente de ingresar un código Javascript sin autorización. Dependiendo del conocimiento de Javascript que tengas, puedes hacer todo lo que quieras.

En este caso, tienes que enviar un contenido Javascript vía POST para poder ejecutar javascript, al parecer el contenido que mandas vía POST, lo recibe un Tag y dicho contenido es un atributo del tag.
Citar
" onmouseover=prompt(995506) bad="

onmouseover es un evento Javascript que se activa al pasar el Mouse por elemento.

Ejemplo de como funcionaria.

Citar<p id="ejemplo[Contenido POST]" ></p>

Si mando via POST el contenido " onmouseover=alert(1) bad=", el resultado seria este:

Citar<p id="ejemplo" onmouseover=alert(1) bad="" ></p>

Al pasar el Mouse por el elemento <p>, se activaría el código javascript, que en este caso es un simple alert().

En este caso el XSS es Reflejado, eso quiere decir que el Usuario/Victima debe mandar los parámetros necesarios.

Saludos.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario