Un artículo de gr2dest.org dónde se habla de los ataques XSS más allá de los tipos reflejado y persistente. Se intenta aportar una visión más amplia sobre las posibilidades dentro de este tipo de ataques así como las condiciones para que éstos se produzcan. También se explora y el funcionamiento de la herramienta XSSer para el lanzamiento de ataques de este tipo.





Introducción

Cross Site Scripting (XSS)

• Las vulnerabilidades de XSS abarcaban cualquier ataque que permita ejecutar código de "scripting" en el contexto de otro sitio web. 
• Se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web.
• Usualmente no se validan correctamente los datos de entrada que son usados en algunas aplicaciones permitiendo enviar un script malicioso a la aplicación.
• Para funcionar necesitan un punto de entrada, que suelen ser los formularios. 
• A través de un ataque XSS, se puede secuestrar cuentas, cambiar configuraciones de los usuarios, acceder a partes restringidas del sitio, modificar el contenido del sitio, etc.

Tipos de ataques XSS

Ataques Directos

• El ataque de forma directa de XSS (también llamado XSS persistente), se presenta cuando el atacante consigue embeber código HTML malicioso, directamente en los sitios Webs que así lo permiten.
• Funciona localizando puntos débiles en la programación de los filtros de HTML si es que existen, para publicar contenido.
• Este tipo de ataques suele ser el más común, y el código del atacante, se basa en etiquetas HTML (del tipo o
• El resultado muestra una ventana con el texto "hola-mundo".
• Esta vulnerabilidad suele ser usada para efectuar robo de sesiones y phishing.

DESCRIPCIÓN DE XSSer

• Detectar vulnerabilidades de tipo XSS
• Explorar dichas vulnerabilidades de forma local o remota.
• Reportar en tiempo real las vulnerabilidades encontradas.

• Interfaz gráfica
• Dorking
• Soporte para GET y POST (esto es importante ya que en herramientas tratadas en artículos anteriores solo se podían realizar inyecciones con GET).
• Crawling
• Proxy
• Análisis heurístico
• Exploits preconfigurados
• Opciones de exportación.
• Diferentes bypassers para evadir los filtros

• XSS clásica (ejecución de código en un script incrustado)
• Cookie Injection
• Cross Site “Agent” Scripting
• Cross Site “Refer” Scripting
• Inyecciones en “Data Control Protocol” y “Document Objetct Model”
• HTTP Response Splitting Induced

EJEMPLOS DE USO

• Inyección básica

xsser -u “victima.com”

• Inyección automática (prueba todos los vectores)

xsser -u “victima.com” --auto

• Inyección con payload personalizado

xsser -u “victima.com” --payload=”>”

• Explotación en local

xsser -u “victima.com” --Fp = “”

• Explotación en remoto

xsser -u “victima.com” --Fr=””

• Utilización de dorking

xsser -d “inurl: admin/echo” --De “google” --Fp =””

• Utilización de proxy y spoofin de cabecera HTTP Refer

xsser -u “victima.com” --proxy http://localhost:8118 --refer “666.666.666.666”

• Utilización de encoding hexadecimal

xsser -u “victima.com” --Hex

• Inyección múltiple con 5 hilos y codificación con mutación

xsser -u “victima.com” --Cem --threads “5”

• Utilización del crawler con profundidad 3 y 4 páginas

xsser -u “victima.com” -c3 --Cw=4

• Explotación a través de POST

xsser -u “victima.com” -p “target_host=nombre&dns-lookup-php-submit-button=Lookup+DNS”

XSSER GTK

 Se trata de una opción algo más intuitiva de usar XSSer.

xsser --gtk

TIPOS DE ATAQUES XSS

Al hablar de XSS se suele tener en mente los dos tipos más básicos: reflejado o persistente; pero hay muchos más.

DOM XSS

Aprovecha un contenido activo modificado para tomar el control de un DOM, lo cual permite controlar el flujo de dicho objeto, aunque siempre a través dela API del mismo. Esto por un lado hace más fácil evitar los filtros anti-XSS pero por el otro posee ciertas limitaciones frente a los ataques básicos. Los elementos vulnerables a DOM XSS suelen ser: “document.location”, “document.URL”, “document.refer”

XSF

Utiliza el lenguaje Actionscript utilizado para programar aplicaciones flash con la intención de cargar en la página elementos no deseados. Puede utilizarse combinada con DOM XSS para cargar elementos del dominio del objeto original. Incluso podría llegar a utilizarse para ejecutar un ActionScript en un fichero SWF, aunque también es posible ejecutar código incrustado en una etiqueta de tipo img.

CSRF

Se trata de una opción de explotación que utiliza una segunda web para lanzar el ataque sobre la web vulnerable. En este caso el usuario abriría la página web que contiene el código vulnerable y éste interactuaría con la web vulnerable con el fin de llevar a cabo el mismo tipo de acciones que un ataque XSS.

XFS

El código malicioso es inyectado en un iframe que se inyectará de forma oculta en la web vulnerable.

XZS

Logra una escalada de privilegios de zona en IE debido a una vulnerabilidad. La relevancia de este ataque reside en la posibilidad de ejecutar un comando privilegiado desde una zona sin privilegios.
IE establece las siguientes zonas: Internet, Intranet, Sitios seguros, Sitios restringidos, Local. Por lo tanto este ataque solo es efectivo contra sistemas Windows con una versión de IE vulnerable.

XAS

Permite llevar a cabo el ataque gracias a la modificación del valor de “User-Agent” en la cabecera de una aplicación web. En el caso de que algún valor se obtenga de forma dinámica es posible modificar dicho valor en el navegador del atacante para que al ejecutar la aplicación y adquirir dicho valor, se lleve a cabo el ataque.

XSSDoS

Utiliza una instroucción de tipo for dentro de un script incrustado en la página para impedir que los usuarios accedan al contenido. A través de un bucle infinito de alertas se impide el acceso a la aplicación.
Para provocar la denegación en el servidor en lugar del cliente basta con utilizar una lógica similar contra dicho servidor. En este caso lo usual es agotar los recursos del servidor lanzando un número demasiado alto de peticiones.

Flash! Attack

Otro ataque basado en Flash que utiliza Macromedia Flash Plugin y Active X Control para inyectar códigos maliciosos. Dicho código permitiría robar cookies cada vez que un usuario reprodujera el contenido infectado.

Induced XSS

A diferencia de los otros ataques XSS, este ataque se lleva a cabo del lado del servidor. Las posibilidades por tanto son mayores, ya que puede llegar a alterarse el contenido HTML completo en una web gracias a la modificación de las cabeceras HTTP de respuesta del servidor. En este caso el atacante obliga al servidor a producir una respuesta que será interpretada como dos por la víctima, la primera con la propia inyección y la petición al servidor y la segunda como camuflaje para la primera.

Image Scripting

Explota la lectura de los parámetros binarios de una imagen por parte de un servidor que no ha sido protegido adecuadamente. Para que este ataque tenga éxito el atacante debe subir la imagen al servidor, que posteriormente será accedida por la víctima.

XSSF - Cross Site Scripting Framework

Fuente:
http://gr2dest.org/revision-de-ataques-xss-avanzados-y-ejemplos-de-explotacion/