Xss java script
Páginas: 18 (4406 palabras)
Publicado: 31 de mayo de 2010
4party
Ataques XSS
Ataques XSS con javascript por diversión y beneficio
Pello Xabier Altadill – Instituto Cuatrovientos
De las muchas vulnerabilidades que podemos encontrar en las aplicaciones Web una de las más comunes es el XSS o Cross-Site-Scripting. Consiste esencialmente en introducir código en páginas web para que lo ejecute cualquiera que acceda a ellas. Aunque es relativamentefácil protegerse ante estos ataques, existen muchas maneras de saltarse filtros. En este taller se probaran distintas diversiones con javascript, desde el hola mundo a cosas más complejas.
Tabla de contenidos
Ataques XSS con javascript como diversión y beneficio .........................................1 (0). Escenario y primera prueba.......................................................................2 (1). Hola mundo ................................................................................................3 (2). Dando por el culo con alerts .......................................................................4 (3). Vámonos de aquí ........................................................................................5 (4). Jugando con el objeto window....................................................................6 (5). Solicitando datos al usuario ........................................................................7 (6). Capturando eventos ...................................................................................8 (7). Robo de cookies y sesiones ......................................................................10 (8). Session Ridding........................................................................................11 (9). Adueñandonos del documento a través de DOM ............................................12 (9.1). ¿Qué es eso del DOM? .............................................................................12 (9.2). Leer, modificar, añadir, reemplazar y eliminar ........................................13 (10). AJAX: unanueva era .....................................................................................18 (10.1). Mandando datos por lo bajini .................................................................19 (10.2). Mandando datos fuera ..........................................................................23 (10.3). Snifando datos.......................................................................................24 (11). Formas de introducir XSS .............................................................................25 Referencias, webs, artículos:.................................................................................25
4party
Ataques XSS
(0). Escenario y primera prueba
El XSS o Cross Site scripting es un tipo de ataque muy sencillo que puede efectuarse contra lasaplicaciones web. Si no se filtran convenientemente los datos introducidos por los usuarios de las aplicaciones web, puede insertarse HTML, javascript y cualquier cosa a través de formularios, enlaces o cualquier otra forma de entrada. Básicamente consiste en hacer ejecutar código javascript en el navegador de la victima a través de la inserción de forma reflejada o persistente. Este gráficomostraría el ataque reflejado o no-persistente:
El ataque persistente es más peligroso ya que afecta de golpe a todo aquel que visite una web comprometida.
4party
Ataques XSS
En el gráfico se muestra el primer paso, en el que el atacante inserta código javascript y este queda en una BBDD. ¿Cómo funciona el ataque persistente? Supongamos que una web habilita la posibilidad que los usuariosmetan comentarios. Si un usuario malicioso inserta un comentario con código javascript, cuando su comentario se muestra en los navegadores de los demás usuarios que visitan la web ese código javascript se ejecutará en sus navegadores.
¿Y qué es lo que puede llegar a hacer ese usuario malicioso usando insertando javascript? Existen infinidad de documentos y páginas que describen el Cross...
Ataques XSS
Ataques XSS con javascript por diversión y beneficio
Pello Xabier Altadill – Instituto Cuatrovientos
De las muchas vulnerabilidades que podemos encontrar en las aplicaciones Web una de las más comunes es el XSS o Cross-Site-Scripting. Consiste esencialmente en introducir código en páginas web para que lo ejecute cualquiera que acceda a ellas. Aunque es relativamentefácil protegerse ante estos ataques, existen muchas maneras de saltarse filtros. En este taller se probaran distintas diversiones con javascript, desde el hola mundo a cosas más complejas.
Tabla de contenidos
Ataques XSS con javascript como diversión y beneficio .........................................1 (0). Escenario y primera prueba.......................................................................2 (1). Hola mundo ................................................................................................3 (2). Dando por el culo con alerts .......................................................................4 (3). Vámonos de aquí ........................................................................................5 (4). Jugando con el objeto window....................................................................6 (5). Solicitando datos al usuario ........................................................................7 (6). Capturando eventos ...................................................................................8 (7). Robo de cookies y sesiones ......................................................................10 (8). Session Ridding........................................................................................11 (9). Adueñandonos del documento a través de DOM ............................................12 (9.1). ¿Qué es eso del DOM? .............................................................................12 (9.2). Leer, modificar, añadir, reemplazar y eliminar ........................................13 (10). AJAX: unanueva era .....................................................................................18 (10.1). Mandando datos por lo bajini .................................................................19 (10.2). Mandando datos fuera ..........................................................................23 (10.3). Snifando datos.......................................................................................24 (11). Formas de introducir XSS .............................................................................25 Referencias, webs, artículos:.................................................................................25
4party
Ataques XSS
(0). Escenario y primera prueba
El XSS o Cross Site scripting es un tipo de ataque muy sencillo que puede efectuarse contra lasaplicaciones web. Si no se filtran convenientemente los datos introducidos por los usuarios de las aplicaciones web, puede insertarse HTML, javascript y cualquier cosa a través de formularios, enlaces o cualquier otra forma de entrada. Básicamente consiste en hacer ejecutar código javascript en el navegador de la victima a través de la inserción de forma reflejada o persistente. Este gráficomostraría el ataque reflejado o no-persistente:
El ataque persistente es más peligroso ya que afecta de golpe a todo aquel que visite una web comprometida.
4party
Ataques XSS
En el gráfico se muestra el primer paso, en el que el atacante inserta código javascript y este queda en una BBDD. ¿Cómo funciona el ataque persistente? Supongamos que una web habilita la posibilidad que los usuariosmetan comentarios. Si un usuario malicioso inserta un comentario con código javascript, cuando su comentario se muestra en los navegadores de los demás usuarios que visitan la web ese código javascript se ejecutará en sus navegadores.
¿Y qué es lo que puede llegar a hacer ese usuario malicioso usando insertando javascript? Existen infinidad de documentos y páginas que describen el Cross...
Leer documento completo
Regístrate para leer el documento completo.