XSS game, Google nos invita a jugar

XSS gamees una web creada por Google en la que nos invitan a jugar. Según Google, las vulnerabilidades XSS o Cross Site Scriptingson las más comunes y peligrosas en aplicaciones web. Google nos ofrece esta plataforma de aprendizaje de forma totalmente gratuita. En estos momentos dispones de 6 niveles. XSS game está orientado más a los desarrolladores que al profesional de la seguridad, sobre todo para concienciar a estos del peligro de este tipo de errores.
Leer más

XSS y MySQL FILE

XSS and MySQL FILEes el título de un nuevo laboratorio que PentesterLabha creado. En esta ocasión el objetivo es aprender como robar las cookies de otro usuario (Administrador) usando técnicas de Cross Site Scripting (XSS). Es un laboratorio para principiantes y todo lo que necesitas son conocimientos básicos sobre HTTP y PHP, además de un software de virtualización para poder correr la máquina virtual que te puedes descargar desde aquí en su versión de 64bitso desde aquí si prefieres la versión de 32bits.
Leer más

16 retos de Cross-site Scripting (XSS)

Encontrar vulnerabilidades XSS o Cross-site Scriptinges una tarea esencial para un auditor de seguridad de aplicaciones web. Con escape.alf.nununca ha sido más fácil aprender a saltarnos filtros de escape en aplicaciones web. Y digo nunca ha sido más fácil, porque la interfaz de este sitio nos muestra el código javascript que tenemos que atacar, un campo de texto donde escribimos nuestra inyección y en tiempo real, a medida que vamos escribiendo, nos va mostrando en otro campo de texto lo que el servidor recibe y la interpretación o ejecución del mismo.
Leer más

Lista de ataques Cross Site Scripting

Cross Site Scripting o XSSes una de las vulnerabilidades más devaluadas por parte de desarrolladores y administradores de sistemas. Quizás sea porque la típica prueba de concepto sea mostrar un mensajito en la pantalla (alert), pero herramientas como BeEFconvierten este tipo de vulnarabilidades en muy peligrosas. De hecho en el Top 10 de vulnerabilidades del OWASP, ésta se encuentra en el número dos de la lista. Quizás la web más conocida sobre ejemplos de ataques XSS sea la de ha.
Leer más

XSS en Skype para iOS

Pues eso, Skype 3.0.1 y versiones anteriores para iOS (iPhone y iPod touch) contiene un fallo de seguridad (XSS) a la hora de mostrar el nombre de tus contactos. Es decir, que no filtra el nombre de tus contactos, por lo tanto si uno de tus contactos fue bautizado como <script>… o <iframe>… tienes un problema :) En el vídeo de a continuación podemos ver una demostración del fallo, en el que se roba la base de datos de los contactos del usuario afectado.
Leer más

hackxor hacker game

hackxores una aplicación web programada de forma intencionada con una serie de fallos de seguridad con la que puedes jugar. Contiene fallos del tipo: XSS, CSRF, SQLi, ReDoS, DOR, inyección de comandos, etc. Puedes jugar de forma online a los 2 primeros niveles, pero como dicha aplicación se aloja en SourceForge piden que uses el sentido común y no uses herramientas de fuerza bruta o escaners automáticos, así como sólo jugar con http://hackxor.
Leer más

Cross-site scripting (XSS) y la Agencia Tributaria (Rubén Santamarta)

Pues al final hapublicado en el blog 48bits toda la información sobre este fallo XSS, a ver si ahora nuestra Agencia Tributaria toma algunas medidas de seguridad. Por cierto, si quieres estar al día sobre temas de ingeniería inversa, no olvides visitar su blog:
Leer más

DVWA

DVWA o Damn Vulnerable Web Application es una aplicación web con ciertas vulnerabilidades creadas a propósito. Es una aplicación ideal para enseñar técnicas de penetración o incluso para nuestra práctica personal. Entre otras, estas son algunas de las vulnerabilidades que puedes encontrar: SQL Injection XSS (Cross Site Scripting) LFI (Local File Inclusion) RFI (Remote File Inclusion) Command Execution Upload Script Login Brute Force Muy importante, no instales esta aplicación en tu hosting o algún otro host público a menos que sepas lo que estás haciendo.
Leer más