sábado, 7 de abril de 2007

Inyección de XSS con una Imagen

Ahora si que les traego una nueva forma de hacer XSS, es a traves de una imgen .PNG, esta vulnerabilidad solo funciona con Internet Explorer, para variar XD.

Lo primero que tenemos que hacer es entrar a nuestra distro de Linux favorita y abrir una terminal y escribimos los sig:


q estamos haciendo pues estamos creando un archivo que contiene nuestra cadena de código hexadecimal que va a llamar posteriormente a el código que queremos ejecutar en este caso es una función de JavaScript que nos va a mostrar un mensaje en un alert.

Ahora lo que tenemos que hacer es agregar a la imagen el código que queremos insertar en la pagina de la sig. forma:


ya que tenemos echo esto solo tenemos que hacer uso de nuestra imagen, la podemos subir por ejemplo a uno de esos clásicos foros que nos permiten subir una imagen y que cuando uno postea la muestra, etc.. ya cada quien sabrá que uso darle, XD.

Aquí les dejo una demo, yo lo probé con un servidor que monte en mi propia computadora.

Viendo la imagen desde Internet Explorer:

Podemos observar como se ejecuto el código que insertamos en la imagen.
EL mensaje va a cambiar con el que le inserte en el ejemplo de arriba, por que le agregue unas lineas, XD.

A continuación estamos viendo el código fuente de la pagina.

Ahora Veamos que sucede si intentamos abrir la imagen con FireFox:


Como podemos ver FireFox nos muestra el sig. mensaje La imagen “http://127.0.0.1/image.png” no puede mostrarse, porque contiene errores. y no ejecuta el código, aunque si observamos el código fuente podemos observar nuestro script.

Pues aquí esta este método para hacer XSS, les aseguro que no se lo sabían, XD. Ya lo estuve probando en varios lados y lamento decirles que no en todos los foros, etc.. se puede subir, les aviso para que no me vengan a decir que no funciona.

Powered By Vilchis.
tokyo03.blogspot.com

1 comentario:

Heru! dijo...

gracias, espero me ayude, estoy tratando hacer esto hace varias horas en una web..