WWW.FLEPS.COM.BR

COMO HACKEAR COM XSS CROSS SITE SCRIPTING?

By admin at 2019-05-14 • 0 colecionador • 745 visualizações de página

Como Hackear com XSS Cross Site .ing?

O script entre sites, que é comumente conhecido como XSS, é uma vulnerabilidade muito simples encontrada em aplicativos da Web. O XSS permite que o invasor execute um código mal-intencionado no site. A vulnerabilidade do XSS permite que o invasor injete algum código nos aplicativos da Web afetados, a fim de contornar o acesso de segurança ao site ou interceptar as informações do usuário e o roubo de cookies. Essa técnica pode ser usada para muitos propósitos, como roubo de cookies, invasão de sites, manipulação de usuários e muito mais coisas que o invasor pode usar. Aqui vou mostrar como hackear o XSS, se você quiser saber mais sobre ele, você pode verificar este guia completo para XSS cross site scripting  aqui.

ENTÃO, COMO HACKEAR COM XSS?

Existem muitas coisas diferentes que você pode jogar com a ajuda do XSS. Aqui estão alguns dos hacks comuns, você pode aprender como hackear com XSS.

A primeira coisa é descobrir um site vulnerável ao XSS. Existem diferentes abordagens para encontrar sites vulneráveis ao XSS. Então, aí vem a primeira parte do ataque para descobrir um site vulnerável.

COMO ENCONTRAR A VULNERABILIDADE DE XSS?

Esta é a parte em que o 'Google Dorks' se torna útil. Usando diferentes 'Google Dorks', você pode encontrar um site vulnerável com facilidade. Então, como fazê-lo? Basta ir ao Google.com e digitar o código abaixo.

inurl: “search.php?q=”

Essa consulta permitirá que o Google preencha uma lista de pesquisa de resultados. Você precisa abrir um site e testá-lo usando o  Básico do XSS  abaixo, seja vulnerável ou não. A maioria dos sites seria vulnerável ao XSS.

Se você quiser testar um site conhecido para a vulnerabilidade XSS, abra o site de destino e comece a encontrar vulnerabilidade XSS, você pode começar simplesmente a ir para a caixa de pesquisa do site. Experimente se não funcionar, dê uma olhada em caixas de comentários, fóruns, postagens de blog etc.

NOÇÕES BÁSICAS DE XSS

Você veio a saber sobre descobrir vulnerabilidade no tópico acima, agora é hora de tomar uma ação, a injeção de XSS usada mais comum é digitar a seguinte consulta na caixa de pesquisa do site.

<script>alert("Los Alpha")</script>

Esta consulta irá abrir uma janela pop-up mostrando a mensagem "Los Alpha"  sem aspas.

Você também pode usar  "search.php?q=" no Google para descobrir sites e, em seguida, aplicar a consulta sobre eles como mostrei acima.

Você também pode simplesmente tentar o seguinte em um site por URL, em vez de colocar a consulta na caixa de pesquisa.

http://vitima.com/search.php?q=<script>alert(“Los Alpha ”)</script>

Há boas chances de estar funcionando, mas se der errado e não funcionar. Basta ir para o outro site e experimentá-lo no outro site.

Você também pode tentar tags HTML como abaixo.

http://vitima.com/search.php?q=<h1>Los Alpha </h1>

Se você pode ver o texto Los Alpha  aparecendo na tela, significa que é vulnerável.

COMO IGNORAR A FILTRAGEM 

Existem tantos sites que podem ser vulneráveis ao XSS, mas não executam o código malicioso como mencionado acima. Isso significa que o site está usando filtros . Então, como brincar com esses sites, você pode usar os seguintes métodos de filtragem.

‘)alert(‘Los Alpha’);

ou

“);alert(‘Los Alpha’);

Isso executará a mesma ação que o <script>alert (“Los Alpha”)</script> faz em um site vulnerável.

Você também pode usar hexing ou base64 codificando seus dados antes de enviar.

COMO DEPOR UM SITE COM O XSS?

Bem, agora você tem uma compreensão clara de como o XSS funciona realmente. Agora passamos para a próxima parte, que é como desfigurar um site com XSS. Há muitas maneiras de escolher desfigurar um site. Eu mencionarei alguns dos métodos mais usados.

O primeiro método é usar o IMG SRC  que exibe a IMAGE vinculada a ele na página da web.

<html><body><img src=”http://vitima.com/minhaDefaceImage.png”></body></html>

Agora, se você alterou o link para um link de imagem válido, salvá-lo e executá-lo, você verá o que quero dizer. Diga agora que você encontrou uma caixa de comentários ou postagens que exibirão os dados enviados. Você pode usar o seguinte comando para tornar a exibição da imagem na página.

<img src=”http://alvo.com/minhaDefaceImage.png”>

As outras tags não são necessárias se a página já as tiver. Isto irá mostrar a sua página de desfiguração quando o site foi invadido. Você também pode usar vídeos em flash em vez de imagens usando o código a seguir para desfigurar um site.

<embed src=”http://website.com/xss.swf”>

Ele irá executar o vídeo flash ligado a ele. Além disso, você pode usá-lo para redirecionar para outro site como

<script>windows.open(“https://www.fleps.com.br”)</script>

 

Espero que você saiba como hackear a vulnerabilidade do XSS. Há muitas outras coisas que você pode fazer com XSS como roubo de cookies.


Requer login

Loading...
:79::65::p:78::57:;):77::51::D:76:
:2::icon_syria_lovely::o:75::1::):clap::71::(:70: