FranceHack Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
[XSS] Cross Site Scripting

 
Répondre au sujet    FranceHack Index du Forum » Débutant » Failles Web Sujet précédent
Sujet suivant
[XSS] Cross Site Scripting
Auteur Message
Azrakel
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
Salut tout le monde,

Aujourd'hui on va voir une faille très connue mais encore assez courante. Je vais vous montrer comment la repérer et comment l'exploiter.




Pour commencer, XSS qu'est ce que c'est?

C'est une faille de sécurité dans certains sites web permettant d'injecter n'importe quel type de langage de programmation dans le site (ce sera le plus souvent du javascript). La plupart des gens l'utilise pour afficher des message sur le site, vous redirigez vers leur page de défacement et mettre des cookies loggers et des shells XSS sur le site.



Différents types de failles XSS


Il existe deux types de failles XSS:
   
     -XSS réfléchi (ou non-permanent) : apparaît lorsque des données fournies par des clients web sont utilisées telle quelle par les scripts du serveur pour produire une page de résultats. Si les données non vérifiées sont incluses dans la page de résultat sans encodage des entités HTML, elles pourront être utilisées pour injecter du code dans la page dynamique reçue par le navigateur client.


     -XSS stocké (ou permanent) : apparaît quand les données fournies par un utilisateur sont stockées sur un serveur (dans une base de données, des fichiers, ou autre), et ensuite réaffichées sans que les caractères spéciaux HTML aient été encodés.




Qu'est ce que je vais vous enseigner aujourd'hui?


Aujourd'hui nous allons voir les bases du Cross Site Scripting et le cookie logging




Commençons par tester les vulnérabilités XSS


Pour savoir si un site est vulnérable, rendez-vous dans une boîte de dialogue, un champ de recherche ou autre. Tapez ce script Javascript :
<script>alert('XSS');</script>




Si une boîte de dialogue apparaît comme ceci





Le site est faillible.




Dans certains cas , un message peut ne pas apparaitre. Si cela ne fonctionne pas, vérifiez le code source.La plupart du temps cela vous oblige a faire un petit changement : 


"><script>alert('XSS');</script>






Bon on a notre faille on peut continuer. Je vais vous apprendre à défacer un site.




Méthode pour XSS permanent


Comme il est permanent, je veux rediriger mes victimes vers une page de déface. Nous allons simplement injecter du  Javascript comme nous l'avons fait précédement:





Rappelez vous, vous pouvez toujours changer le code si cela ne fonctionne pas.




Méthode pour XSS non-permanent


Ok nous ne pouvons pas rediriger les utilisateurs avec une XSS non-permanente. Mais avec des bases de programmation web, nous pouvons faire un cookie logger. 


<script>window.location="http://www.votrepagededeface.com/index.html";</script>




Faites deux fichiers:
     -Cookiemonster.php
     -Cookies.txt


Cookiemonster.php

{{{Vous devez répondre à ce sujet pour voir la partie cachée}}}


Et laisser vide le cookie.txt

Comment envoyer le cookie logger à ma victime?

{{{Vous devez répondre à ce sujet pour voir la partie cachée}}}

A quoi ressemble le cookie?

{{{Vous devez répondre à ce sujet pour voir la partie cachée}}}


Et là, question : qu'est ce que je peux faire avec le cookie de quelqu'un d'autre?


Une fois que vous avez le cookie de quelqu'un d'autre, vous pouvez utiliser un éditeur de cookies, aller sur le site des victimes, changer leur cookie que vous avez chopper et vous connecter comme si vous étiez la personne à qui vous avez voler le cookie. Exemple: Si votre cible est "admin" et qu'"admin" s'est connecté sur le site, vous lui envoyez votre cookie logger, vous changez votre cookie en cookie de l'admin et vous avez accès à tout le site et vous en faites ce que vous voulez.


Lun 17 Fév - 23:24 (2014)
Publicité






Message Publicité
PublicitéSupprimer les publicités ?

Lun 17 Fév - 23:24 (2014)
Mugiwara
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
Très bon tuto très explicatif, merci !


Mar 18 Fév - 14:12 (2014)
Azrakel
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
En plus j'ai eu des problèmes pour le faire passer de meta à frhack x)


Mar 18 Fév - 20:59 (2014)
twux01
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
Manque plus que les bypass filter


Mer 26 Fév - 21:05 (2014)
Azrakel
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
J'avais fait le tuto sur mon deuxième forum


Mer 26 Fév - 21:06 (2014)
Skin O' Dog
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
On ma parlé de sa aujourd'hui en +


Ven 28 Fév - 01:24 (2014)
Black72
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
Ça a l'air intéressant ... .


Ven 28 Fév - 11:38 (2014)
mistral6702
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
merci pour ce tuto ca m aide a y voir 1 peut plus claire 


Jeu 6 Mar - 10:14 (2014)
LeGeNDs
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
Merci du partage ;) ...


Dim 6 Avr - 19:15 (2014)
lordfide
Invité

Hors ligne




Message [XSS] Cross Site Scripting Répondre en citant
Faut voir alors si ca aide  on me defi si tu savais


Mer 9 Avr - 21:33 (2014)
Contenu Sponsorisé






Message [XSS] Cross Site Scripting

Aujourd’hui à 10:53 (2016)
Montrer les messages depuis:    
Répondre au sujet    FranceHack Index du Forum » Débutant » Failles Web Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 

Portail | Index | créer un forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Music Lyrics.Traduction par : phpBB-fr.com