30 agosto, 2013

Iniciación en XSS


Hola a tod@s

¿Qué es XSS?
Del inglés Cross-site scripting, prácticamente desde el momento que se invento internet y las aplicaciones web ya existían este tipo de vulnerabilidad. Este fallo que aún padecen a día de hoy muchas webs permite a un atacante inyectar código JavaScript alterando el comportamiento normal del navegador, es decir, permite el ingreso y envío de datos sin validación alguna, aceptando el envió de scripts completos, pudiendo generar secuencias de comandos maliciosas que impacten directamente en el sitio o en el equipo de un usuario.









Como es habitual realizaremos las pruebas con BadStore, cargando la distribución en nuestra maquina virtual.


Imagen 1: Insertamos código en el formulario





Vamos realizar una P0C muy sencilla para explicar cómo funciona esta vulnerabilidad. Para ello, vamos al libro de visitas de la tienda online y insertamos código, yo me he decantado por incrustar una imagen, para ello no he necesitado código JavaScript, en su lugar utilizo etiquetas <img> (Html).


 Imagen 2: Resultado deseado XSS



La tienda online ha permitido la incrustación de una imagen en su web. Se podría realizar más acciones como un simple <script>while(1)alert("hola");</script> o aún peor un iframe. 

No seáis malos.