Si es un xss persistente (lo cual me parece extraño si dices que lo has encontrado en un input de busqueda) puedes hacer de todo, desde hookear el navegador de los clientes que se conectan ( mirate un programita muy chulo llamado Beef), puedes robar cookies, inyectando un código javascript que identifique la cookie del cliente y lo mande a cualquier sitio que tengas bajo control para almacenar las cookies (a una PHP por ejemplo). Puedes hacer phising cambiando todos los links mediante el javascript para redireccionar a donde quieras, puedes directamente redireccionar la página, defacear la página.. etc..
Sabiendo un poco de javascript te darás cuenta que puedes hacer casi cualquier cosa si encuentras un xss persistente.
Un saludo

Para empezar, el phising es ilegal y, más importante en mi opinión, no es ético, robar las credenciales de gente que no tiene ni idea de ordenadores no te va a hacer ningún hacker. Dicho esto no te voy a contestar directamente a tu pregunta, te daré las pautas que has de seguir para encontrar un hosting.

Primero que todo debes buscar hostings (como es obvio) y informarte sobre sus bases legales y sobre el país en el que se sitúan. Obviamente si encuentras un hosting en un país del tercer mundo en el que no existen leyes contra las cyberestafas pues ya tienes tu hosting. Aunque esto no creo que te vaya a pasar.
Personalmente yo para hacer algo así utilizaría algún servidor que previamente he obtenido ilegalmente para realizar este tipo de cosas.
No obstante insisto en que te olvides de esta clase de cosas, puedes crearte un entorno virtual para practicar el phising y mejorar tus técnicas sin hacer daño a nadie

Esta muy bien hacer cosas así para enseñarse pero Javascript no es el lenguaje que se encargue de validar usuarios, te recuerdo que es código que se ejecuta en el cliente por lo que este tiene cierto control sobre el js que ejecuta, además de que con un simple Inspeccionar elemento podríamos dar fácilmente con las contraseñas.
Si quieres hacer cosas así con javascript sin que suponga una perdida total de la seguridad de tu sitio usa NodeJS que te permite utilizar javascript de lado del servidor por lo que es idóneo para lo que quieres hacer.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Reporta o denuncia en la Dirección del Instituto.

Saludos

Gabriela

Totalmente de acuerdo, intentar hackear-le te podría meter en problemas serios, y más si no eres experto en la materia

A ver, esta duda podría ocupar un libro entero. Primero de todo tienes que identificar el entorno en el que trabajas, no es lo mismo programar una shell para  realizar una conexión a tu ordenador, dentro de tu red privada, para esto, obviando todo el tema del anonimato, debes configurar el NAT de tu router ( te ánimo a que te informes sobre este protocolo pues es esencial en internet ) para que apunte a tu dirección privada. Otra historia sería tener un servidor con una IP dedicada, solamente con la IP y un puerto (el cual debes tener a la escucha para recibir la conexión, por ejemplo mediante netcat ) podrías recibir la shell. Te aconsejo que NUNCA recibas una conexión remota directamente a tu ordenador, tampoco te recomendaría configurar la NAT para hacerlo puesto que estas abriendo una 'puerta' a tu ordenador para el resto de la red.

¿ Como podrías mantener el anonimato entonces??

Teniendo en cuenta lo que he dicho antes lo más recomendable seria que dispusieses de un servidor dedicado, en este podrías instalar Tor (el servicio, no el buscador ) y crear un servidor ( tendrás que tocar el fichero de configuración torrc e informarte sobre este tema) a la escucha. Cuando dispongas de un link .onion que apunta a tu servidor podrás recibir la conexión inversa de forma más o menos anónima ( Si el servidor no es tuyo mejor que mejor ). Además te recomiendo que aprendas a utilizar IPtables o Socat, te ayudarán a redirigir el tráfico y para un montón de cosas útiles.

Esto solo es una forma de hacerlo, ni es la mejor ni es la peor, esta se puede combinar con otras formas de conseguir anonimato.

Ahí esta la gracia, lo que se ha comentado es la forma de enmascarar tu rastro para que no puedan llegar hasta tu IP real, cuando hablamos de una conexión reversa es lo mismo pero a la vez diferente, tienes que conseguir que el tráfico llegue hasta un punto sin que el origen sepa donde, para eso ya debes meterte más en el uso de Tor pero como servidor y no como cliente

Bueno, yo no quiero entrar en debate sobre el significado de la palabra hacker ya que ha quedado bastante claro en respuestas anteriores. A mi me interesa más la palabra "ético" que va después de hacker, ¿que es un hacker ético?

Según la definición de las entidades que certifican este título, es aquel hacker que trabaja en bien de reparar fallas de seguridad que podrían ser una potencial amenaza para muchas empresas con lazos en internet.

Mi pregunta es, que tiene esto de ético más allá de la palabra? Nada. No hay ética en defender una empresa la cual esta robando a gente indefensa ( uso el término robar aunque no tiene por que ser estrictamente así ). Y es gracioso, en el siglo XXI tenemos miles de ejemplos de que claramente la legalidad esta por encima de la ética ( no tienes más que leer las noticias para darte cuenta ), de modo que los hackers éticos no son más que 'soldados' utilizados por la legalidad, que a su vez esta está interpretada para ayudar a los poderosos a mantener su poder. ¿Es esa la clase de ética que buscamos cuando nos pasamos horas investigando sobre seguridad? La respuesta es clara, NO! Yo no aprendo seguridad informática para salvar al banco de turno de un ransomware, yo soy la persona que introduce el ransomware. Una generación entera de ciberpalurdos que se alistan para acabar observando las injusticias que comete el poder con impunidad y no decir ni hacer nada, mientras gente como Snowden sacrifica su vida por nuestra libertad en la red. El mundo es una mierda y mientras todos estemos ocupados haciendo cosas intrascendentes seguiremos igual.
La moral es la que nos tiene que decir lo que debemos hacer, y no un jefe con corbata que viene de una mariscada con cuatro empresarios de turno.

OJO: No intento generalizar, es cierto que esto no es así y evidentemente hay empresas en internet que no abusan de la gente ni de sus trabajadores, no obstante esto pasa y mucho, y es nuestro deber como hackers ÉTICOS ( que parece que se olvide el significado de la ética ) el ayudar a los indefensos y no a los poderosos. Cada cual puede sacar sus conclusiones, yo jamás me venderé.
Somos legión

Dependiendo de lo que estás haciendo deberás tomar unas medidas u otras. En un principio con enrutar tu trafico a través de tor y luego usar una VPN o un proxy anónimo te asegurará cubrir medianamente bien tu rastro. No obstante esto en algunas ocasiones puede que no sea suficiente. La mejor forma de asegurar tu anonimato (obviamente no es la mejor pero de esta forma es muy complicado de que lleguen a oler tu dirección real) es utilizar tor > vpn > cadena de proxies. Una cadena de proxies puede ser una pequeña "botnet" que uses para pivotar tu tráfico y que sea mucho más complicado, por no decir imposible si no eres un gobierno, que te cojan.

Por favor, cuando describas un problema es de vital importancia que des más cantidad de datos, de lo contrario nadie va a poder ayudarte. Si no nos dices en que distribución lo has instalado, o si el problema lo tienes al instalar el servicio de tor o el buscador de tor

Yo sigo usando whatsapp y facebook, no obstante le doy poco uso y me aseguro de que no pasen datos sensibles por ninguna de las dos aplicaciones. Como aplicación ,dado su uso generalizado en la sociedad, esta bien ya que te permite estar en contacto con tu gente pero nunca debe servirnos de via de comunicación para mensajes importantes, delatadores o simplemente cosas ilegales.
Es gracioso lo fácil que es darse cuenta de para que se utiliza whatsapp en realidad, facebook adquirió whatsapp por la cantidad de 19 mil millones de dolares, en base a los beneficios anuales de whatsapp, facebook tardaría aproximadamente más de 100 años en recuperar su inversión, entonces? donde esta el negocio?? En los datos!.
Gracias a los datos que aporta whatsapp, facebook puede crear un perfil completo de nuestra persona sabiendo en todo momento con quien nos relacionamos, nuestro entorno, nuestra ideología, nuestra forma de ser, nuestra ubicación, nuestros gustos etc.. estos datos son a su vez muy suculentos para agencias gubernamentales pero eso daría para otro post.

En conclusión, no usar whatsapp para transmitir información sensible, solo para hablar con amigos y ligar