# XSS - Skills Assessment Estamos realizando una tarea de prueba de penetración de aplicaciones web para una empresa que nos contrató y que acaba de lanzar su nuevo sitio web `Security Blog`. En nuestro plan de prueba de penetración de aplicaciones web, llegamos a la parte en la que debe probar la aplicación web contra vulnerabilidades Cross Site Scripting (XSS). ``` Objetivo: 10.129.89.233 ``` Acceda al directorio `/assessment` en el servidor usando el navegador:

Aplique las habilidades aprendidas en este módulo para lograr lo siguiente: 1. Identificar un input que sea vulnerable a una vulnerabilidad XSS 2. Busque un payload XSS que funcione y que ejecute código JavaScript en el navegador de destino 3. Usando las técnicas de `Session Hijacking`, intenta robar las cookies de la víctima, que deben contener la flag. ## Identificar input vulnerable Si en la home pinchamos en el título, nos lleva a una entrada de blog con un formulario para dejar un comentario. Es el único punto donde podríamos probar un XSS:

Al introducir en los inputs `test` nos dice que tenemos que introducir un email válido, con lo que a priori ese campo no sería inyectable, ya que tiene aplicada la validación:

Al enviarlo de nuevo nos damos cuenta de que dice que los comentarios los debe validar un administrador, y no nos da más información, por lo que parece que podríamos estar ante un Blind XSS:

Si nos fijamos en la URL tenemos esto: ``` http://10.129.89.233/assessment/index.php/2021/06/11/welcome-to-security-blog/?unapproved=6&moderation-hash=aa4f4c43deb7ce939f1e347aa28f84a2#comment-6 ``` Un hash? Podría ser el del administrador? Interesante ### Chequeo con XSStrike Al hacer un escaneo de la URL con XSStrike nos devuelve esto: ``` python3 xsstrike.py -u 'http://10.129.89.233/assessment/index.php/2021/06/11/welcome-to-security-blog/?unapproved=6&moderation-hash=aa4f4c43deb7ce939f1e347aa28f84a2#comment-6' XSStrike v3.1.5 [~] Checking for DOM vulnerabilities [+] Potentially vulnerable objects found ------------------------------------------------------------ 2 ( Element.prototype.matches && Element.prototype.closest && window.NodeList && NodeList.prototype.forEach ) || document.write( '