[SOLUCIONADO]XSS headers redirect

Iniciado por Theraritho5, Junio 22, 2016, 05:08:02 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 22, 2016, 05:08:02 PM Ultima modificación: Junio 25, 2016, 07:22:05 AM por blackdrake
Muy buenas tardes Underc0de abro este nuevo tema porque he estado aprendiendo sobre xss y he encontrado uno, pero, en las cabeceras, también he leido que atravez de un xss se puede hacer redirect, pero lo unico que encuentro es que se puede hacer redirect siempre y cuando sea, por ejemplo, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta[xssredirect], pero si es un xss por headers como podria crear el redirect con el xss en los headers y poder enviarselo a personas (por asi decirlo) sin que esa persona (victima) tenga que descargar live http y hacer el xss por si mismo?
Junio 22, 2016, 06:48:26 PM #1
No se si he entendido bien, pero hay 3 tipos de XSS.

XSS stored, este XSS se da en comentarios, nombres de usuarios y cosas del estilo.
XSS reflected, son XSS a través de la URL como comentaste.
XSS self injection, creo que es el tipo que tú has encontrado, y son bastante poco útiles porque tienes que engañar al usuario.

RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Junio 22, 2016, 06:54:39 PM #2
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy buenas tardes Underc0de abro este nuevo tema porque he estado aprendiendo sobre xss y he encontrado uno, pero, en las cabeceras, también he leido que atravez de un xss se puede hacer redirect, pero lo unico que encuentro es que se puede hacer redirect siempre y cuando sea, por ejemplo, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta[xssredirect], pero si es un xss por headers como podria crear el redirect con el xss en los headers y poder enviarselo a personas (por asi decirlo) sin que esa persona (victima) tenga que descargar live http y hacer el xss por si mismo?

No se puede. Los parametros que se ponen en un request POST los tiene que generar la otra persona si o si. A menos que hagas una web que haga un POST pero aun asi tendrian que entrar a una web que tengas bajo tu control.

User -> Tu web ->POST-> URL_VULN -> Destino
Junio 25, 2016, 07:21:55 AM #3
Como ya dijeron, en ese caso no sería posible, a no ser que fuerces a la víctima a hacer la petición POST deseada ;)

Marco el tema como solucionado, tienes varias respuestas válidas


Saludos.


Imprimir
Ir Arriba Páginas1
Acciones del Usuario