Pruebas para la inyección de javascript.

XSS es un ataque que le permite inyectar y ejecutar HTML malicioso o JavaScript. Esto se puede utilizar para robar datos críticos (por ejemplo, datos de sesión) de las cookies. Como el código se ejecuta en el contexto de una aplicación vulnerable, esto le permite realizar otros ataques como phishing, inicio de sesión con teclado o redirigir al usuario a un sitio web malicioso. En el caso de " secuencias decomandos entre sitios almacenadas", el código inyectado se coloca permanentemente en la aplicación, lo que la hace más peligrosa que las "secuencias de comandos entre sitios reflejadas", donde el atacante debe enviar a la víctima un enlace especialmente preparado.


Una de las aplicaciones estudiadas identificó muchos parámetros que eran susceptibles a la inyección de javascript. El siguiente es un extracto de la solicitud con el código malicioso marcado en rojo. Realiza una acción que muestra una notificación de alertay solo se dirige a la documentación de que es posible un ataque de este tipo. Durante un ataque de hackers real, la mayoría de las veces el uso de XSS roba un pastel de sesión.


parte de la solicitud con el código malintencionado marcado en rojo


En la figura siguiente, puede ver la ejecución de código malicioso en el navegador de la víctima a través de una acción que muestra una notificación de alerta.


Ejecutar código malintencionado en el explorador de la víctima mediante una acción que muestre una notificación de alerta

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Marcar el Enlace permanente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *