Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
▼
enero
(Total:
15
)
- Process Explorer incluye nueva opción para analiza...
- Guía Avanzada de Nmap 6
- Listado completo de herramientas en Kali Linux
- Tutorial TestDisk para recuperar particiones dañad...
- Novedades y mejoras del Kernel 3.13 de Linux
- Iconos de estado y notificaciones en Android
- CentOS une fuerzas con RedHat
- Evitar que te manden e-mails con Google+ sin saber...
- Google + Auto Backup: la nueva herramienta de Picasa
- Porcentaje de uso de navegadores en el foro de elh...
- Manual con ejemplos "XSS for fun and profit"
- Almacenamiento NAS: Qué es y cómo funciona
- Phishing en 2014: Ejemplo práctico con Facebook
- Imágenes de todos los modelos de la Steam Machine
- Reportaje TV: Documentos TV: "Ojo con tus datos"
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Manual con ejemplos "XSS for fun and profit"
viernes, 10 de enero de 2014
|
Publicado por
el-brujo
|
Editar entrada
Manual completo de lord epsylon presentado en la Summer Camp Garrotxa de 2009 (SCG09) donde se exponen todo tipo de ataques conocidos, formas de evasión de filtros, diferentes
técnicas/finalidades de un atacante y una recopilación de herramientas,
links, ideas y vectores válidos.
El Cross Site Scripting (XSS) es la vulnerabilidad más explotada según la OWASP (Open Web Application Security Project)
En el XSS se manipula la entrada (input) de parámetros de una aplicación con el objetivo de obtener una salida (output) determinada que no sea la habitual al funcionamiento del sistema.
Algunas estadísticas afirman que el 90% de todos los sitios web tienen al menos una vulnerabilidad, y el 70% de todas las vulnerabilidades son XSS. A pesar de tratarse de una temática en seguridad algo antigua, aún siguen apareciendo nuevos vectores de ataque y técnicas que hacen que se encuentra en constante
evolución.
El Cross Site Scripting (XSS) es la vulnerabilidad más explotada según la OWASP (Open Web Application Security Project)
En el XSS se manipula la entrada (input) de parámetros de una aplicación con el objetivo de obtener una salida (output) determinada que no sea la habitual al funcionamiento del sistema.
Algunas estadísticas afirman que el 90% de todos los sitios web tienen al menos una vulnerabilidad, y el 70% de todas las vulnerabilidades son XSS. A pesar de tratarse de una temática en seguridad algo antigua, aún siguen apareciendo nuevos vectores de ataque y técnicas que hacen que se encuentra en constante
evolución.
Índice
- 1.- Introducción
- 2.- Tipos de Ataques
- Reflected Cross Site Scripting (XSS Reflejado)
- Stored Cross Site Scripting (XSS Persistente)
- DOM Cross Site Scripting (DOM XSS)
- Cross Site Flashing (XSF)
- Cross Site Request/Reference Forgery (CSRF)
- Cross Frame Scripting (XFS)
- Cross Zone Scripting (XZS)
- Cross Agent Scripting (XAS)
- Cross Referer Scripting (XRS)
- Denial of Service (XSSDoS)
- Flash! Attack
- Induced XSS
- Image Scripting
- anti-DNS Pinning
- IMAP3 XSS
- MHTML XSS
- Expect Vulnerability - 3.- Evitando Filtros
- 4.- PoC examples - Bypassing filters
- Data Control PoC
- Frame Jacking PoC - 5.- Técnicas de ataque
+ Classic XSS - Robando “cookies”
+ XSS Proxy
+ XSS Shell
+ Ajax Exploitation
+ XSS Virus / Worms
+ Router jacking
+ WAN Browser hijacking
- DNS cache poison
- XSS Injected code on server
- Practical Browser Hijacking - 6.- XSS Cheats - Fuzz Vectors
- 7.- Screenshots
- 8.- Herramientas
- 9.- Links
- 10.- Bibliografía
- 11.- Licencia de uso
- 12.- Autor
Descarga XSS_for_fun_and_profit_SCG09
Lord Epsylon - XSSer, the cross site scripting framework
Lord
Epsylon – XSSer, the cross site scripting framework - See more at:
http://www.cyberhades.com/tag/2012/#sthash.sNGJAS70.dpuf
XSSer es un framework de código libre escrito en python, que permite la
automatización de procesos de detección, explotación y publicación de
inyecciones de código “scripting”. Contiene diversas técnicas, tanto
para evadir filtros, cómo para explotar código sobre vulnerabilidades de
tipo XSS. En la presentación se mostrará la historia y evolución del
proyecto, así cómo, una relación de todas las posibilidades que permite
la herramienta, tanto desde el punto de vista de un auditor de seguridad
profesional, cómo para aquellas personas que apenas tengan
conocimientos.
Lord
Epsylon – XSSer, the cross site scripting framework - See more at:
http://www.cyberhades.com/tag/2012/#sthash.sNGJAS70.dpuf
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.