Miles de Reportes de XSS al descubierto

Iniciado por Rootkit_Pentester, Junio 23, 2017, 12:18:29 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Hola comunidad Underc0de. Les voy a mostrar una web dedicada a realizar pentest con XSS y sus miles de reportes en Google }:)



Pero primero explicare una nocion de lo que son los ataques XSS.

¿Qué es XSS?

XSS es sinónimo de Cross-Site-Scripting. Se trata básicamente de un ataque, que se utiliza para ejecutar código HTML y Javascript en la página web. Este ataque se puede realizar mediante la presentación de consultas en cuadros de texto, o incluso en la URL. Los resultados vuelven a leer el texto en formato HTML, por lo que ejecuta las secuencias de comandos en lugar de mostrarlos en texto plano. Con un ataque XSS, se puede robar las cookies de un administrador de la web, o incluso utilizar algo de ingeniería social para manipular a alguien para descargar un virus que ha creado. Por ejemplo, un botnet, o RAT, tal vez incluso un Keylogger.

Hay dos tipos de XSS:
Directo (también llamada Persistente): este tipo de XSS comúnmente filtrado, y consiste en insertar código HTML peligroso en sitios que lo permitan; incluyendo así etiquetas como <script> o <iframe>.

Indirecto (también llamada Reflejado): este tipo de XSS consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos navegadores y aplicaciones web, esto podría extenderse al DOM del navegador).

Ahora les pasare a ver las funcionalidades de esta web cuyo link es: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Uno buscando en Google el siguiente dork: site:xss.cx les saldran miles de reportes de scans de esta pagina. Ejms: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta por citar algunos famosos xD.
Les dejo algun screenshot y que se diviertan.



Saludos y espero sus comentarios!!!.
Rootkit.