Bienvenidos al nuevo foro de hackplayers. En caso de encontrarse cualquier tipo de error, contacte con cualquier administrador por mensaje privado.
Recuerda que, para incrementar tu privacidad, tambien puedes acceder al foro usando el dominio forohpysho2t5mjs.onion de la red tor.

Duda sobre Cross-Site Scripting

PrioloquatoPrioloquato
en Dudas y Preguntas Vote Up1Vote Down
Hola, estaba realizando los ejercicios de XSS de Web for Pentester de PentesterLab siguiendo el tutorial de hackplayers (http://www.hackplayers.com/2017/02/pentesterlab-web-for-pentester-1-xss.html#more) y todo iba bien hasta que en el ejercicio 9 no logré lanzar el mensaje de alerta. Me sorprende el error puesto que es un tutorial muy reciente y puesto que no encuentro ninguna solución en internet os pido ayuda.
Este es el resultado que obtengo cuando reallizo el ejercicio:

Gracias de antemano.

Comentarios

  • 12 Comentarios ordenados por Votos Fecha
  • PrioloquatoPrioloquato
    Vote Up1Vote Down
    Gracias @CYBERBOB por el dato, pero además de que no sé lo que es burpsuite, ni intruder, ni un plugin (soy muy novato); me gustaría hacerlo manualmente, sin ayuda de ninguna herramienta automatizada. Así que si alguien sabe... Me encantaría que me lo explicara :).
  • KaoRzKaoRz
    Administrator Vote Up0Vote Down
    Seguramente sea problema del navegador, al ser un XSS basado en DOM puedes probar en este firefox customizado (https://code.google.com/archive/p/dominator/) y te deberia funcionar, tambien puedes usar http://pentesterlab/xss/example9.php#<script>alert('1')</script>


  • vis0rvis0r
    Administrator Vote Up0Vote Down
    Estoy con KaoRz y sospecho que el problema lo tienes en el navegador. Si estás usando Firefox este tiene cierta "protección" en DOM y concretamente desde la versión 40 la función location.hash devuelve la cadena encodeada con %:

    https://github.com/OWASP/railsgoat/issues/229

    Por lo tanto, prueba el payload del post en Google Chrome y debería funcionarte.

    pd. ten en cuenta que en un XSS basado en DOM el problema viene en gran parte debido al cliente. Existen varias herramientas para testear y detectar la presencia de este tipo de XSS. Me lo apunto y en cuanto tenga tiempo le dedico una entrada :)
    En grupo se divide el trabajo y se multiplican los resultados.
  • PrioloquatoPrioloquato
    Vote Up0Vote Down
    ¡Muchas gracias! Ya probé con Internet Explorer y funcionó, ahora puedo continuar con los ejercicios. Aunque me surge una duda y es que esa cierta "protrección" de Firefox también debería de ser hackeable o evitable o como quieras llamarlo, ¿me explico? ¿No sabéis cómo se podría realizar desde Firefox? He encontrado poca información sobre esto en internet y mucha ya no sirve para nada porque ya se ha avanzado en la materia... ¡Gracias!
    Estaré esperando esa entrada ;).
  • CYBERBOBCYBERBOB
    Vote Up0Vote Down
    Lo puedes hacer con burpsuite, ya sea modificando el HTML con el intruder o con un plugin de xss 
  • PrioloquatoPrioloquato
    Vote Up0Vote Down
    ¿Alguien podría ayudarme? Yo es que si no resuelvo una duda no puedo seguir aprendiendo jeje. Repito mis dudas son cómo se podría saltar la protección contra XSS que implementa el propio navegador Firefox y cómo saber dónde va a ser insertado un texto de un panel de búsqueda o similares para llevar a cabo un XSS "dirigido". Si no me explico bien en un mensaje así de reducido podéis eleer mis anteriores comentarios donde me explico más detalladamente. Siento tanta insistencia pero cuánto más aprendo más me doy cuenta de lo poco que sé. Gracias...
  • PrioloquatoPrioloquato
    Vote Up0Vote Down
    Okay las visitas al post suben pero los comentarios no, y yo sigo dudando jaja.
  • PrioloquatoPrioloquato
    Vote Up-1Vote Down
    Hola, me gustaría saber cómo saber, valga la redundancia, hacer cross-site scripting a una página sin probar 50 mil veces, es decir, viendo como en el tutorial el código fuente de la página e interpretando el lenguaje averiguar cómo saltarse cualquier protección y lograr lanzar un mensaje de alerta... Gracias, @vis0r y @KaoRz.
  • CYBERBOBCYBERBOB
    Vote Up-1Vote Down
    Quieres hacerlo sin htas automatizadas, pero lo quieres automáticamente??

    Has pensado en python?
  • PrioloquatoPrioloquato
    Vote Up-1Vote Down
    Noooo, creo que noo me he explicado bien. No lo quiero hacer automáticamente ni tampoco con herramientas automatizadas. Quiero saber interpretar el código fuente una página de forma que pueda saber inyectar código en ella, javascript en este caso. De la misma forma que lo interpreta el autor del tutorial http://www.hackplayers.com/2017/02/pentesterlab-web-for-pentester-1-xss.html#more. Es decir, él según mira cómo está construido el código fuente sabe qué caracteres tiene que poner para cerrar una etiqueta y cosas así, sabe donde va a ser insertado lo que él escriba en la página... etc. Espero haberme explicado bien @CYBERBOB.
  • SamfireSamfire
    Vote Up-1Vote Down
    Yo soy mu flojo, estoy aquí para aprender. Disculpa por no poder aportar nada.

    http://blog.alguien.site/2015/11/bypassing-xss-filters-caso-ebay.html

  • PrioloquatoPrioloquato
    Vote Up-1Vote Down
    Entiendo @Samfire imagino que como la mayoría, que venimos a aprender. Gracias por el aporte por lo menos revives un poco el hilo jaja.
Accede o Regístrate para comentar.