Ataques XSS - Cross Site Scripting

Clase 27 de 48 • Curso de Pentesting 2016

Contenido del curso

Introducción

Ataques de lado del Servidor

Ataques de lado del cliente

Ataques de Contraseñas

Metasploit Framework

Ataques de aplicaciones Web

Troyanos, virus y backdoors

Evadiendo Firewalls, IDS, Honeypots y Borrando Huellas

Recopilación de datos, gestión de pruebas y presentación de informes

Conclusiones

44
Cierre del curso
01:06 min

Desafíos

Tomar examen

Resumen

¿Qué es XSS?

Cross Site Scripting, es cuando encontramos vulnerabilidades para poder ejecutar JavaScript anexando en peticiones.

Ejemplos:

192.168.57.12/xss/example1.php?name=<script>alert(“hola”)</script>
192.168.57.12/xss/example1.php?name=<iframe src=”https://platzi.com’ width=’500’ height=’600’></iframe>

Comentarios

Enrique Tecayehuatl

student•

¿Como generar URL’s maliciosas?

Samuel Vedeli

student•

En SET tienes una buena herramienta para crear URLs maliciosas. En Metasploit tienes algunos exploits que vulneran fallos del navegador, que generan URL’s maliciosas que, al ejecutarlas una víctima, permite injectar código arbitrario y ejecutarles un payload. Un ataque así difícilmente tendría éxito cuando los navegadores se actualizan por defecto y estos fallos ya están parcheados, pero si existe un zero-day o algo por el estilo se convierte en el ataque más efectivo de todos. Hubo quien llegó bastante lejos en una intrusión a las bases de datos de Google enviándole una URL maliciosa a un empleado de esta compañia.

Carlos Azúa

student•

La url maliciosa es la que contiene el payload. Por ejemplo en la descripción del video, las 2 urls que salen se consideran “maliciosas” ya que contienen código javascript que será inyectado en la página y que, al ingresar el usuario a esa url, se ejecutarán.
En el primer caso levantando un mensaje de alerta que diga “hola” y en el segundo caso incrustando un iframe con la página de platzi.com.

Carlos Azúa

student•

¿Cuál es la página de los defacements?

Diego Forero

Team Platzi•

Hola, es esta:

Ataques XSS - Cross Site Scripting

Introducción

Qué aprenderas sobre pentesting

Instalación y configuración del laboratorio para pentesting

Ataques de lado del Servidor

Evaluación de vulnerabilidad en servidores

Escanear server con nikto

Escanear de seguridad para servidores web con Skipfish

Interceptación por proxy con Owasp-zap

Interfaz de websploit framework

Auditoria de seguridad con w3af

Ataques de lado del cliente

Introducción ataques lado del cliente

En que consisten los ataques de ingeniería social

Ataques de ingeniería social con SET

Ataque de intermediario con SET

Escaneo avanzado con nmap

Ataques de Contraseñas

Elegir y crear diccionarios para ataques de fuerza bruta

Ataques de fuerza bruta con hydra y medusa

Ataque a contraseñas con John the Ripper

Ataque a contraseñas con rainbow tables

Usando un hash como contraseña

Metasploit Framework

Interfaces de usuario Metasploit

Configuración de Metasploit Framework en Kali Linux

Ataque con Metasploit Framework a Windows XP

Ataque con Metasploit Framework a Windows 8 Server

Cargar payload con malware

Elevación de privilegios post explotación

Ataque con Armitage

Ataques de aplicaciones Web

Ataques de aplicaciones web