Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
14 de Septiembre, 2014    General

XSSPOSED: El archivo de los bugs XSS en Internet

Al igual que Archive.org guarda las copias de todas las webs que puede de Internet, y que Zone-h tiene el archivo de los Defacements que se han hecho a las páginas web, XSSPOSED es una web que archiva y premia a los cazadores de bugs XSS (y Open Redirects) en Internet. En él se pueden acceder a los bugs que han sido encontrados y reportados en la web organizados por importancia de la web o por fecha de reporte, además de permitir ver quiénes son los mejores cazadores de XSS en Internet.

Figura 1: Web de XSSPOSED con Top Alexa Rank Websites con bugs y Latest Submissions 

Por cada bug que se ha reportado se puede ver una pequeña historia de él, con información relativa a la fecha, y el investigador que lo reportó, que se lleva una imagen de caza con su nombre por haber reportado esa "presa" al archivo de bugs de Internet.

Figura 2: Descripción del bug, del reporte e imagen con la presa

En la segunda parte del expediente queda la información relativa al bug, con la URL que tienen la vulnerabilidad y los parámetros POST que hay que configurar para poder probar el ataque.

Figura 3: Descripción detallada de la explotación del ataque

Además, se puede lanzar el ataque desde el propio expediente para comprobar si está aún activo, se puede pedir que se chequee otra vez para cambiar su estado de activo a parcheado y en todo momento se puede acceder a una copia que se hace en el sitio.

Figura 4: Mirror XSS del bug reportado

El número de ellos que aún siguen activos es alto y todos los días aparecen nuevos bugs de XSS en un montón de sitios, incluidos sitios de renombre como periódicos, sitios con ranks Alexa y Page Rank altos o muy populares, como este en la web de la MTV.

Figura 5: Bug de XSS en MTV reportado a XSSPOSED

Si tienes curiosidad por estas técnicas este es tu sitio, pero si eres administrador de la seguridad de sitios web en Internet deberías tener un ojo puesto en esta web por si hay algún bug que te afecte reportado. Esta es una más de las fuentes de información que revisamos en los servicios de Vigilancia Digital y en nuestro servicio Faast de Pentesting Continuo, ya que un bug de XSS activo en una web (o un Open Redirect) puede ser especialmente peligroso en determinadas circunstancias.

Fuente http://www.elladodelmal.com/2014/09/xssposed-el-archivo-de-los-bugs-xss-en.html
de Chema Alonso
Palabras claves , , , ,
publicado por alonsoclaudio a las 15:00 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Febrero 2023 Ver mes siguiente
DOLUMAMIJUVISA
1234
567891011
12131415161718
19202122232425
262728
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad