Un poco de teoria ya que he publicado algunas vulnerabilidades con cross site asi que hay se las dejo
Sólo hay que echar un viataso en en.wikipedia.org / wiki / Cruz-site_scripting.
Me han centrado en encontrar un agujero XSS y bypssing un filtro.
XSS es una vulnerabilidad de la aplicación web que se produce debido a filteration indebido o no de la entrada del usuario.
Permite a los atacantes maliciosos para inyectar secuencias de comandos del lado
del cliente en páginas web. Esto no es algo con lo que vas a estropear un sitio web o interrupción en el panel de administración.
Este error puede ser peligroso para los usuarios si se encuentran en los formularios en línea.
Básicamente, usted puede hacer principalmente dos cosas que están robando las sesiones de usuario y iframes inyección. En realidad este error es básicamente explotado para perjudicar a los visitantes y no permite administrators.Okay aprender el método para encontrar errores
de XSS.
Es posible que haya intentado encontrar un agujero XSS mediante la inserción de un script como esta alerta script ('XSS') script en los campos de búsqueda y la esperanza de un cuadro emergente diciendo a XSS.
Pero no es siempre la manera de encontrar un error de XSS.
En este ejemplo se le hará todo claro.
Bueno, vaya a esta dirección URL
http://www.chitkara.edu.in/chitkara/esl.php?page=overview.php&sitetitle=Overview
"Visión general" permite reemplazar con cualquier palabra clave. 'test ' Say y pulsa enter
http://www.chitkara.edu.in/chitkara/esl.php?page=overview.php&sitetitle=test
Ahora comprobamos si el código fuente de la página y buscar "test" de palabras clave usando Ctrl + F y podemos encontrar que en el código.
Con cuidado, ver dónde se inserta en el código fuente p
script
title Chitkara Educational Trust > test title
Now lets replace the 'test' with title
XSS
and see what happensNote-
It is the html heading tag
http://www.chitkara.edu.in/chitkara/esl.php?page=overview.php&sitetitle=title
XSS
Podemos ver 'XSS' la palabra clave que aparecen en la página web.
Vamos a ver de nuevo la fuente de la página
Entramos para completar la etiqueta del título (title) y h1
XSS es la etiqueta
HTML que realmente quería ver en la página.
Espero que haya sido una parte simple y está claro para usted.
Ahora vamos a tratar de ejecutar una alerta de código Javascript
Pero no pasa nada!
Ahora comprobamos si el código fuente de nuevo
en las barras (\) se inserta automáticamente antes de las comillas simples ('), entramos.
Obviamente, debido a esto nuestro código se execute.This no es una especie de filtro que tenemos
que pasar por alto.
Aquí vamos a estar utilizando un javascript construido en función llamada String.fromCharCode
() que se utiliza para codificar / decodificar cadenas. Ahora estos dos códigos
Sí, funcionó.
Así que finalmente hemos logrado ejecutar un javascript:)
Funte:http://www.explorehacking.com
Traduccion: Dellcom1@
saludos Mundo Libre.
No hay comentarios:
Publicar un comentario