- XSS - Cross Site Scripting (1º Parte)
- XSS - Cross Site Scripting (2º Parte)
********************************************
Buenas a todos, aquí retomamos el capitulo de XSS.
Ahora que queremos comprobar si realmente la pagina es vulnerable realizamos lo siguiente:
Probamos a introducir: <h1>hola</h1>
Aquí lo que estamos haciendo es decirle a la página que eso
nos lo muestre en negrita y en grande. Y como vemos en la captura es
precisamente lo que hace, por lo tanto sabemos que seguro podremos realiza un
XSS. Para ello solo necesitaríamos introducir:
<script>alert(‘Vulnerabilidad
XSS’)</script>
Lo cual nos produciría una ventana con el mensaje
introducido.
Normalmente los ejemplos son algo distintos, ya que suele
ser necesario cerrar la variable o input en el que estamos para poder
introducir código. En estos casos suele producirse cuando realizamos una
consulta como:
“/><script>alert(‘Vulnerabilidad
XSS’)</script>
Esto es muy típico encontrarlo en los buscadores de las páginas.
Aquí os dejo algunas páginas vulnerables que son graciosas y donde podéis
probar los ejemplos ya que esto ni es ilegal ni nada.
En la DGT (En el buscador)
Por cierto por si alguno tiene alguna duda este tipo de
ataques únicamente modifican la pagina cuando la cargamos, es decir que si la
vuelves a cargar sin introducir el XSS seguirá como siempre.
Esto es distinto en los XSS Persistentes que veremos mas
adelante, donde si que se guardan en una base de datos y son los realmente
peligrosos, pero bueno, esto era una pequeña base para poder avanzar en otros
temas mas adelante.
Espero que os haya gustado, y ante cualquier duda mandarnos
un correo o algo.
Un saludo!
No hay comentarios:
Publicar un comentario