Encontrar vulnerabilidades XSS o Cross-site Scripting es una tarea esencial para un auditor de seguridad de aplicaciones web.
Con escape.alf.nu nunca ha sido más fácil aprender a saltarnos filtros de escape en aplicaciones web. Y digo nunca ha sido más fácil, porque la interfaz de este sitio nos muestra el código javascript que tenemos que atacar, un campo de texto donde escribimos nuestra inyección y en tiempo real, a medida que vamos escribiendo, nos va mostrando en otro campo de texto lo que el servidor recibe y la interpretación o ejecución del mismo. Esto nos ayuda muchísimo a la hora de conseguir una inyección exitosa, porque nos permite corregir rápidamente nuestra entrada y por lo tanto creo que es una idea genial para aprender y/o mejorar nuestros ataques XSS.
El sitio tiene 16 retos, del 0 al 15, en el que cada nivel aumenta la
dificultad. El objetivo de cada reto es conseguir ejecutar un alert(1).
Tan pronto como nuestro código ejecuta el [em]alert(1)[/em], nos
aparecerá un mensaje en la parte superior de la imagen notificando que
hemos ganado el nivel. Aquí se puede ver el solucionario.
Fuente: Cyber Hades
Fuente: Cyber Hades
0 comentarios:
Publicar un comentario