Capitulo 2 - XSS 2.0 Spread The World - Mas Alla Del Alert( )
Este Hilo tiene como objetivo concientizar a webmasters, programadores y al publico en general acerca de las vulnerabilidades basadas en ataques Cross Site Scipting (XSS).En esta oportunidad, relatare los peligros del xss en la vida real, como nuestra identidad puede ser vulnerada.Las Vulnerabilidades XSS hoy en dia son muchas veces desantendidas, muchos creen que no representa un peligro inminente, pero el cross site scripting no solo se restringue a "alert(s);" o loops interminables, desde un simple "document.cookie", hasta un worm en ajax, keyloggers.js, hijacking y en muchas ocaciones facilitando una escalacion de privilegios, los tiempos han cambiado las web han evolucionado y con ello el tipo de ataques en estas plataformas. el xss se a ido perfeccionado.
Stuff como BEeF, XSShell, JSlogger, facilitan aun mas la explotacion de los XSS Bugs.
El escenario es el siguiente:
Honey=>Una Web 2.0 (Social Networking, Dating, etc.)
Poison=>Una Web O Archivo Malicioso (sh3n.net, sh3n.net/i-want-your-cookie.js)
Honey=>Vulnerable to XSS
Poison=>Could Stole Cookies and PhpSessions
Honey=>Social.com/my-profile.php?=2394
(Honey Tiene XSS persistente en la pagina "my-profile.php", esto implica que todos los visitantes de su perfil se vean afectados por el xss.)
Poison=>"document.cookie"
Un atacante malicioso podria crear un perfil de modo malicioso, para robar credenciales php-sessions, cookies o incluso grabar las teclas del usuario.
Spread o Esparcir el perfil para obtener ips, informacion de las pcs "zombies", usar la misma para explotar otras vulnerabilidades, en los browsers o en el mismo sistema operativo, todo se limita al conocimiento y la imaginacion.
