Buenas compañeros,
Hace un tiempo que no he podido publicar pero uno también tiene que atender sus responsabilidades =D como se suele decir, lo bueno se hace de rogar.
En el blog ya tenemos un par de pruebas de concepto de cómo montar un phishing, ya sea SET o con el framework phishing frenzy todo empleando software especializado. En este post, se va aprovechar una vulnerabilidad de XSS para desarrollar un phishing.
Para ello, como siempre se va a emplear un escenario controlado, ya sabéis hay jugar pero sin meterse en líos. En este caso, se ha empleado la aplicación web WackoPicko, que se encuentran dentro del proyecto OWASP Broken Web APP
Se trata de la típica aplicación que nos podemos encontrar que tiene un buscador de productos. Normalmente cuando veamos algo así, nos entra mono de probar si puede ser vulnerable a un XSS o SQL Injection,pues vamos a ello!
En la barra de buscador se podría intentar incrustar código script. Como prueba de concepto para detectar si el sitio web es vulnerable se introduce el típico código:
Verificando que es vulnerable, se podría incrustar un XSS persistente, de tal manera, que un usuario legítimo de la aplicación se podría conectar o si ya estuviera autenticado (sería demasiado bueno) y se le redirige a una página idéntica en la que se le indica que se ha producido un error y se tiene que volver a loguear, es decir, implementar un phishing aprovechando una vulnerabilidad de XSS.
Entonces por partes, en primer lugar, insertarmos el código del XSS persistente:
2 comentarios en «PoC: Phishing manual explotando un XSS»
Muy buenas,
Me surge una duda, el código Javascript se ejecuta en el Navegador del cliente, por lo tanto entiendo que para que esto funcione tienes que tener acceso al mismo e introducir el script?
Lo ideal sería poderlo envía a través de una URL, ¿es posible hacer esto?
Gracias por el aporte!
Buenas Alejandro,
Gracias por tu comentario.
La página en la que se accede el phishing (login.html) está en posesión del atacante, por lo que ahí se incluye el código JavaScript.
El código JavaScript posibilita dinánismo a una página web, es decir, se encuentra dentro del código, de tal manera que cuando se accede se ejecuta y se carga, lo de enviarlo a través de la url no es posible, no sé muy bien a que te refieres.
Saludos.
Los comentarios están cerrados.