cross site scripting

pos eso k llevo un mes investigando un atake a una web concreta

(una pauesta con el webmaster a k no le hackeo XD)

i tras mucho investigar se k es un apache 2.0.45 en un red hat, usa un php 4.2.3 un send mail 8.9.12 etc...pero lo k me ha llamao la atencion ha sio el php

vereis, ai una conocida vulnerabilidad de croos site scripting para esa version del php i anteriores, el exploit seria el siguiente:

http://www.example.com/index.php?PHPSESSID="><script>...</script>

esa vulnerabilidad se puede encontrar en el bugtraq, salio hace muy poco.

pero lo k yo me pregunto es k tipo de codigo puedo meter ai?

k lenguaje?

i k puedo hacer en una sola linea de codigo?

saludos i gracias a todos

¿Jocanor y spushan son el mismo?, o los dos hicieron la misma apuesta y escriben igual, ademas de tener las mismas ocurrencias ?

las mismas ocurrencias


son hermanos XD

lo que pasa es que se nos quedan las cuentas abiertas y tenemos que controlar a ver si es la nuestra hay varios posts de jocanor a mi nombre y varios mios a su nombre

El codigo que puedes insertar ahi es cualkier JS, ademas de que es posible que acepte codigos VBs e ActiveX....

Usualmente, el XSS se usa para robos de cookies para session hijacking.


Info:
Net-search Ezine, nº8, XSS attacks :D

En esa ezine, encontraras mucha mas informacion y enlaces.