viernes, 24 de enero de 2014

Introducion al Cross Site Scripting XSS

Hoy vamos a hablar de otra vulnerabilidad web muy común y que ocupa una de las primeras posiciones en el OWASP TOP10 Vulnerabilidades Web.

Cross Site Scripting, conocida como XSS, es una vulnerabilidad por exceso de libertad en los parámetros y que permiten inyectar código HTML y Javascript son los mas usados.

Distinguiremos 2 tipos:

XSS Reflejado: También llamado Xss no persistente, este tipo provoca modificaciones en el sitio web pero solo temporalmente, un ejemplo podía ser un buscador interno que en el resultado salieran imágenes que el hacker ha inyectado

En este caso una de las maneras mas fáciles es inyectar código HTML en este caso sera una imagen en un buscador, el atacante le valio con inyectar: "><img src="http://i55.tinypic.com/witu7d.png" height="650" width="1000"> . Enlace.


Otro clásico de inyecciones XSS es insertar código Javascript en el sitio, el ejemplo mas claro son las famosas alerts. En este caso introducimos "><script>alert("VULNERABLE A XSS"); </script>




XSS Persistente: El XSS persistente perdura en el cierre de la sesión, muchos de ellos son guardados en la base de datos por un error de validación del campo en el que se interactuaba.

Si pensais que esto es un juego pues algo si, existe un ranking de hackers basados en XSS donde lo publican y puntúan en  XSSED
Donde impresiona ver hackeos a paypal, facebook, google, bancos, gobiernos, amazon y muchísimos mas.

Podeis consultarlos con el mirror. Y ver los Owneds que se muestran.



Muy pronto taller de hacking por XSS con Kali !

Saludos guerreros!!

No hay comentarios:

Publicar un comentario