viernes, 19 de marzo de 2010

XSS en Web Site


Hola, me tope hoy con una web vulnerable a XSS y como estaba aburrido decidi postearlo:


¿Que es XSS? (SEGUN WIKI)


Su nombre original es "Cross Site Scripting", y es abreviado como XSS para no ser confundido con las siglas CSS, Hojas de estilo) Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque que permitiera ejecutar código de "scripting", como VBScript o Javascript, en el contexto de otro sitio web (y recientemente esto se podría clasificar más correctamente como "distintos orígenes").
Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web No se limita solamente a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí. El problema está en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Esta vulnerabilidad puede estar presente de forma directa (también llamada persistente) o indirecta (también llamada reflejada).

Directa (Persistente): este tipo de XSS comúnmente filtrado, y consiste en invadir código HTML peligroso en sitios que así lo permiten

Indirecta (Reflejada): este tipo de XSS consiste en modificar valores que la aplicacion web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos navegadores y aplicaciones web, esto podría extenderse al DOM del navegador).

Cookie: Fragmento de informacion que se almacena en el disco duro del visitante de una pagina web a traves de su navegador.

Usos mas frecuentas de Cookies:

Cuando un user ingresa un usuario y contraseña en una web, la cookie almacena los datos asi no tiene que andar escribiendola dia y noche :P

Conseguir Info sobre los datos de navegacion del user 

Bueno, aca dejo la screen:


Aclaro, que este tutorial, fue una introduccion a XSS, todavia me falta aprender a mi PHP, asi que todavia no prefiero meterme con WebHacking.. excepto con SqLi xD

NoS VeMoS Dr [F]
Publicado por Franco Di en 21:19
Secciones: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)