Cross Site Image Overlaying - XSS

No Comments
Buen dia ahora con otro tipo de XSS el cual viene de la mano de Sven Vetsch  que es el autor del documento.
Cross Site Image Overlaying     

Esta variante del XSS es una forma de jugar con los estilos(css) y los tags html permitiendo asi conseguir hacer pishing u otros ataques similares.

Este tipo de ataques son interesantes de aprovechar en el caso de no poder ejecutar JavaScript por culpa de un WAF o filtro que haya por ahí.

El ataque, como comente antes, esta basado en CSS, y la forma de explotarlo es usar style de las etiquetas HTML, quedando un payload como el siguiente:


"> 

Este ataque no tiene mucha dificultad, ya que se trata de usar ir usando los atributos de css y podriamos hacer cosas como estas:

   



Hemos conseguido cambiado el logo, por uno de adobe(aunque no lo parezca), y con esto podríamos hacer creer una falsa sensación de que esta en un sitio legitimo.Se puede ver que hemos cambiado un logo por otro. 


Tambien podriamos poner un link hacía una web con malware alojado.

Fuente: Underc0de

0 comentarios

Publicar un comentario en la entrada