CURSOS

[CURSOS][bsummary]

Análise de Vulnerabilidade +

[Análise de Vulnerabilidade][bleft]

SISTEMAS +

[SISTEMA OPERACIONAL][bleft]

Postagens recentes

Views:

GUIA COMPLETO PARA XSS CROSS SITE SCRIPTING


Uma vulnerabilidade muito simples encontrada em sites Web. O XSS permite que o invasor execute um código mal-intencionado no site. Aqui estou compartilhando o guia completo para scripts XSS entre sites. Existem alguns tipos de ataques XSS, vou escrever sobre os 3 principais deles. A vulnerabilidade do XSS permite que o invasor injete algum código nos aplicativos da Web afetados, a fim de contornar o acesso de segurança ao site ou interceptar as informações do usuário e o roubo de cookies. Essa técnica pode ser usada para muitos propósitos, como roubo de cookies, invasão de sites, manipulação de usuários e muito mais coisas que o invasor pode usar.

GUIA COMPLETO PARA XSS CROSS SITE SCRIPTING

Existem 3 tipos principais de scripts XSS entre sites, comumente denominados como:
  1. Ataque XSS não persistente
  2. Ataque XSS persistente
  3. Ataque XSS baseado em DOM

ATAQUE XSS NÃO PERSISTENTE

Os XSS não persistentes são, na verdade, as vulnerabilidades mais comuns que podem ser encontradas na Internet usadas para hackers. É comumente chamado de “não persistente” porque funciona em uma resposta HTTP imediata do site da vítima. Ele aparece quando a página da Web obtém os dados fornecidos pelo cliente do invasor para gerar automaticamente uma página de resultados para os próprios invasores. Com base nisso, o invasor poderia fornecer algum código malicioso e tentar fazer com que o servidor o executasse para obter algum resultado.
A aplicação mais comum desse tipo de vulnerabilidade na caixa de pesquisa do site, o invasor escreve algum código HTML arbitrário na caixa de pesquisa e, se o site estiver vulnerável, a página de resultados retornará o resultado dessas entidades HTML.

ATAQUE XSS PERSISTENTE

As vulnerabilidades persistentes do XSS são semelhantes ao XSS não persistente, porque ambos funcionam em um site de vítima e tentam roubar informações do usuário. A única diferença em ambos é que os sites vulneráveis ​​ao XSS Persistente o invasor não precisa fornecer a URL criada para os usuários, porque o próprio site permite que os usuários insiram dados fixos no sistema como caixas de comentários. Normalmente, os usuários usam esse tipo de ferramenta para deixar mensagens para o proprietário do site e, à primeira vista, isso não parece ser algo perigoso, mas se um invasor descobrir que o sistema está vulnerável, poderá inserir um código mal-intencionado em sua mensagem e deixar TODOS os visitantes são vítimas disso.
Isso funciona quando a técnica funciona quando o sistema que usamos para esse ataque não verifica o conteúdo da mensagem inserida: ele apenas insere os dados fornecidos pelo usuário na página de resultados.

ATAQUE XSS BASEADO EM DOM

O script entre sites baseado em DOM permite que um invasor trabalhe não em um site da vítima, mas em uma máquina local de vítima: o sistema operacional geralmente inclui “desde o nascimento” algumas páginas HTML criadas para diferentes objetivos, mas desde que os humanos cometer erros muitas vezes, essas páginas HTML podem ser exploradas devido a vulnerabilidades de código.
O XSS baseado em DOM explora esses problemas nas máquinas locais dos usuários desta maneira:
- O invasor cria um site mal-intencionado bem construído 
- O usuário engenhoso abre esse site 
- O usuário tem uma página vulnerável em sua máquina 
- O site do invasor envia comandos para a página HTML vulnerável 
- A página local vulnerável executa esses comandos com privilégios do usuário essa máquina. 
- O invasor ganha facilmente o controle no computador da vítima.

Este é o único guia completo para o script entre sites XSS. Isso não obedece a nenhum tipo de demonstração de ataque. Você pode seguir os métodos de invasão do XSS e como hackear o XSS neste artigo.

0 comentários via Blogger
comentários via Facebook

Nenhum comentário :