Muitos não sabem , o que é , ou como utilizar , para isso estou fazendo esta pequena introdução a técnica.
O que é ?
XSS, também conhecido como CSS (Cross Site Scripting ) Normalmente confundida com Cascading Style Sheets ( tecnologia que nos permite criar páginas web de uma maneira mais exata ) é uma vulnerabilidade muito comum encontrada em Aplicações WEB , como scripts de sites e forums .O XSS , permite a injeção de códigos maliciosos
pelo atacante , possibilitando o atacante ver informações de outros usuários que estão utilizando o site ao mesmo tempo .
Como utilizar ?
Hoje em dia com o avanço da tecnologia e a grande quantidade de usuários se interessando por esse ramo , aumentou o nível de técnicas aplicáveis de XSS , mas a mais comum e eficiente é a de roubo de Cookies , podendo ser aplicada a grandes sites e forums , por ser a técnica muito comum e eficaz , estarei abordando sobre ela nos próximos tópicos , e claro , estarei falando sobre outras técnicas .
Como acho um site Vulnerável ?
Bem na XSS , quase todos os site que tem um sistema de Cookies , ou sistema PHP , mal configurados , estão sujeitos a estarem vulneráveis , mas hoje ja existe Scanner de XSS e Strings de pesquisa para facilitar o XSS , também a modos de saber manualmente se o sistema esta ou não vulnerável , o modo mais simples é esse que vou relatar aqui .
Este site esta vulnerável , mais especificamente este sistema de pesquisa esta vulnerável .
Olhem a URL
http://epab.posten.no/Engelsk/Search.asp?SearchWord=
se acrescentarmos uma palavra no final do SearchWord= , veremos que ele fará a pesquisa da palavra pesquisada.
Exemplo:
http://epab.posten.no/Engelsk/Search...earchWord=casa
ele pesquisara a palavra casa , então , vamos colocar um comando em Javascript , mas especificamente um alert para ver se realmente esta vulneravel . ( Para quem não sabe o comando alert , serve para dar um Alerta )
o comando javascript é esse
><script>alert("XSS")</script>
vamos entender esse comando .
como todos sabem os < e > servem para abrir e fechar uma TAG
que no caso nosso é javascript porém somente escrita SCRIPT , indicando que é um script ( óbvio )
o comando ALERT serve para alertar algo , XSS será nossa mensagem que será exibida na caixa de Alerta.
A URL ficara então assim
http://epab.posten.no/Engelsk/Search.asp?SearchWord=><script>alert("XSS")</script>
Como podem ver a o comando exibiu um ALERT com a mensagem XSS.
Isso significa que esta vulnerável, mas não significa que poderemos pegar a senha e login de root do site cada site tem variações .
E por fim , muitos não sabem , mas essa técnica já foi utilizada por muitos no começo dos estudos hacking , o ato de hackiar um orkut por javascript , como foi conhecido era uma técnica , de XSS , porém , poucos sabiam disso e que se da para aplicar em muitos sites , Não só orkut .
O que é ?
XSS, também conhecido como CSS (Cross Site Scripting ) Normalmente confundida com Cascading Style Sheets ( tecnologia que nos permite criar páginas web de uma maneira mais exata ) é uma vulnerabilidade muito comum encontrada em Aplicações WEB , como scripts de sites e forums .O XSS , permite a injeção de códigos maliciosos
pelo atacante , possibilitando o atacante ver informações de outros usuários que estão utilizando o site ao mesmo tempo .
Como utilizar ?
Hoje em dia com o avanço da tecnologia e a grande quantidade de usuários se interessando por esse ramo , aumentou o nível de técnicas aplicáveis de XSS , mas a mais comum e eficiente é a de roubo de Cookies , podendo ser aplicada a grandes sites e forums , por ser a técnica muito comum e eficaz , estarei abordando sobre ela nos próximos tópicos , e claro , estarei falando sobre outras técnicas .
Como acho um site Vulnerável ?
Bem na XSS , quase todos os site que tem um sistema de Cookies , ou sistema PHP , mal configurados , estão sujeitos a estarem vulneráveis , mas hoje ja existe Scanner de XSS e Strings de pesquisa para facilitar o XSS , também a modos de saber manualmente se o sistema esta ou não vulnerável , o modo mais simples é esse que vou relatar aqui .
Este site esta vulnerável , mais especificamente este sistema de pesquisa esta vulnerável .
Olhem a URL
http://epab.posten.no/Engelsk/Search.asp?SearchWord=
se acrescentarmos uma palavra no final do SearchWord= , veremos que ele fará a pesquisa da palavra pesquisada.
Exemplo:
http://epab.posten.no/Engelsk/Search...earchWord=casa
ele pesquisara a palavra casa , então , vamos colocar um comando em Javascript , mas especificamente um alert para ver se realmente esta vulneravel . ( Para quem não sabe o comando alert , serve para dar um Alerta )
o comando javascript é esse
><script>alert("XSS")</script>
vamos entender esse comando .
como todos sabem os < e > servem para abrir e fechar uma TAG
que no caso nosso é javascript porém somente escrita SCRIPT , indicando que é um script ( óbvio )
o comando ALERT serve para alertar algo , XSS será nossa mensagem que será exibida na caixa de Alerta.
A URL ficara então assim
http://epab.posten.no/Engelsk/Search.asp?SearchWord=><script>alert("XSS")</script>
Como podem ver a o comando exibiu um ALERT com a mensagem XSS.
Isso significa que esta vulnerável, mas não significa que poderemos pegar a senha e login de root do site cada site tem variações .
E por fim , muitos não sabem , mas essa técnica já foi utilizada por muitos no começo dos estudos hacking , o ato de hackiar um orkut por javascript , como foi conhecido era uma técnica , de XSS , porém , poucos sabiam disso e que se da para aplicar em muitos sites , Não só orkut .
0 comentários:
Postar um comentário
ORA VIVA, OLHA TEU COMENTARIO VALE MAIS DO QUE OURO PARA MIM, PRECISO DELE PARA MELHORAR A DISPONIBILIDADE DO BLOG.