PENTESTING WEB PARTE 2 - XSS1
¿Qué es Cross-Site-Scripting?
Los ataques Cross-Site Scripting (XSS) son un tipo de inyección, en el que se inyectan scripts maliciosos en sitios web que. Los ataques XSS ocurren cuando un atacante usa una aplicación web para enviar código malicioso, generalmente en forma de un script del lado del navegador, a un usuario final diferente. Las fallas que permiten que estos ataques tengan éxito están bastante extendidas y ocurren en cualquier lugar donde una aplicación web use la entrada de un usuario dentro de la salida que genera sin validarla o codificarla.
Tipos de ataques XSS
- XSS Reflejado: Es el más común, este no se almacena en el código en el servidor.
- XSS Almacenado o Persistente: Este tiende a almacenar el código en el servidor.
- XSS Basdo den DOM: Inyecta mediante la url pero no se carga como parte de la web en su código fuente, podemos decir que el código no llega a la web, únicamente se ejecuta en el navegador de la víctima.
Recursos
Entre los recursos que se pueden usar hay gran cantidad en la web, de los cuales podemos usar o apoyarnos con estos:
- https://github.com/payloadbox/xss-payload-list
- https://owasp.org/www-community/attacks/xss/
- https://portswigger.net/support/using-burp-to-find-cross-site-scripting-issues
- https://portswigger.net/web-security/cross-site-scripting.
Podemos hacerlo en:
- La academia de Burp suite: https://portswigger.net/web-security/cross-site-scripting.
- La academia de Hack The Box: https://academy.hackthebox.com/
- La academia de TryHackme: https://tryhackme.com/
También lo podemos hacer con ayuda de repositorios de github hay muchos escenarios para pruebas, en este laboratorio usaremos ese repositorio DVWS, la instalación lo vimos en la primera parte1.
¿Cómo hacer una inyección XSS?
Para realizar una inyección necesitamos de payloads, un payload generalmente es lo que usamos para inyectar dentro del o los parámetros vulnerables que tiene la aplicación.
0 comentarios:
Publicar un comentario