You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Seguro habeís probado en google chrome o similar, intenta con otro navegador o directamente con algún otro vector.

Te comento intente con firefox y con chrome, creo que tendre que probar con opera y algun otro y verificar.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Estas poniendo bien la url? se me hace raro que no exista index.php en este caso

SI el url esta bien de hecho ya lo cheque muchas veces, de hecho me por eso me parece muy raro ya que me genera el HTTP/1.1 404 Not Found
aun cuando sabemos que el index si existe. Puede ser un falso activo?  O cual podria ser la razon?

Gracias saludos

Buenas noches, he estado practicando XSS en servidores de prueba, actualmente estoy probando con uno y lo he analizado con Nikto y me salta la siguiente vulnerabilidad

*index.php?action=storew&username=<script>alert( 'Vulnerable' );</script>: SunShop is vulnerable to Cross Site Scripting (XSS) in the signup page. CA-200-02.

Intento hacer el alert y me salta un 404 y lo siguiente


The page you have requested was not found on our server. Please check the address and make sure it is correct, and try again.

/index.php?action=storew&username=%3Cscript%3Ealert(%20%27test%27%20);%3C/script%3E:

Tambien he intentado poner el alert en esa forma y obviamente tampoco funciona XDD.

Mi duda es la siguiente estoy ejecutando mal la el XSS o simplemente es un falso positivo del escaner?


Gracias!!

Muchas gracias por sus resupuestas, ahora a leer un poco!

Buenas noches actualmente estoy aprendiendo acerca de XSS, en un servidor de pruebas he hecho el escaneo y me suelta estas 3 vulnerabilidades

+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type

Me gustaria saber que tan peligrosas pueden llegar a ser y cual es la manera de explotarlas y también la manera de parcharlas.



Gracias saludos!!

Muchas gracias por sus respuestas y aclararme lo del robo de cookies, solo me queda una gran duda, entonces este tipo de XSS se puede decir que en esas condiciones es inutil al atacante o que otro ataque se podria realizar?

Gracias!

Hola estoy aprendiendo javascript y un poco de XSS.

ire al punto encontre lo que entiendo es un XSS reflejado en un sitio, tengo entendido que es reflejado ya que esta en un input de busqueda.  Al parecer no se pueden ver los parametros en los links, aun es posible hacer un robo de cookies? o que se puede hacer en un caso asi?

Gracias

Buenas tardes, me ha interesado un poco el tema de hacking web con webshells, conosco ataques de SQLI,XSS pero realmente nunca he entendido al 100% como funciona una shell y cual es el proceso para subirlo al servidor, me pueden recomendar algun tutorial o informacion en de el foro, ya que busque en el foro de shells pero unicamente encuentro shells no veo ningun tutorial acerca del tema.


Gracias