16 retos de Cross-site Scripting (XSS)

Selection_006.png

Encontrar vulnerabilidades XSS o Cross-site Scripting es una tarea esencial para un auditor de seguridad de aplicaciones web.

Con escape.alf.nu nunca ha sido más fácil aprender a saltarnos filtros de escape en aplicaciones web. Y digo nunca ha sido más fácil, porque la interfaz de este sitio nos muestra el código javascript que tenemos que atacar, un campo de texto donde escribimos nuestra inyección y en tiempo real, a medida que vamos escribiendo, nos va mostrando en otro campo de texto lo que el servidor recibe y la interpretación o ejecución del mismo. Esto nos ayuda muchísimo a la hora de conseguir una inyección exitosa, porque nos permite corregir rápidamente nuestra entrada y por lo tanto creo que es una idea genial para aprender y/o mejorar nuestros ataques XSS.

El sitio tiene 16 retos, del 0 al 15, en el que cada nivel aumenta la dificultad. El objetivo de cada reto es conseguir ejecutar un alert(1). Tan pronto como nuestro código ejecuta el alert(1), nos aparecerá un mensaje en la parte superior de la imagen notificando que hemos ganado el nivel, como podéis ver en la imagen que encabeza esta entrada.

Happy XSSing! :)