¿Es posible obtener una contraseña con un XSS almacenado? [cerrado]

Navega tus respuestas
-4

¿Es posible obtener la contraseña de un sitio con XSS almacenado? Tengo un foro donde puedo poner JavaScript no directamente, pero dentro de HTML (como <div onclick="alert()">CLICK</div> ). ¿Es posible explotar esto para obtener contraseñas?

    
pregunta Blazed 29.05.2016 - 14:49
fuente

1 respuesta

1

No hay forma de obtener la contraseña directamente

No puede obtener la contraseña de usuario directamente del foro. Simplemente porque no puede acceder al navegador usando javascript. Por lo tanto, no podrá obtener las contraseñas guardadas en el navegador. Esto sería un gran error de seguridad

Hay 2 formas para acceder a una cuenta desde una vulnerabilidad XSS

  • Como vimos, no es posible obtener directamente las contraseñas mientras que Usuario haga clic en su enlace. Pero, piensa de otra manera. Una primera forma es extraer las cookies de los usuarios. Al utilizar AJAX , puede enviar POST y GET solicitud en el fondo. El usuario no será informado en este solicitud. Dado esto, puede enviar las cookies (obtenerlas con document.cookies usando JavaScript) a una dirección que usted controla. Luego puede inyectar esas cookies en su navegador e ingresar a la cuenta de la víctima.
  • La segunda forma se refiere a una página de inicio de sesión falsa. Al hacer clic en su enlace, el usuario pensará que ha sido desconectado mientras que él simplemente Llegó a su página falsa, que todavía está en el dominio correcto. Esta Mi respuesta al respecto allí . Puede modificar la página con su propio código fuente y enviar la ID a su servidor cuando la víctima haga clic en el botón de conexión.
respondido por el Xavier59 29.05.2016 - 15:02
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es mi algoritmo de hash? [duplicar] ¿Las descargas desde los sitios de alojamiento de archivos son 100% seguras de problemas legales? [cerrado]