ATAQUES XSS FALSOS?

El otro días investigando a una personas me tope con un resultado que estaba mostrando a muchos de sus seguidores un fallos xss en goolge en el cual la mayoría de seguidores le habían creído, entonces hoy vengo a mostrar su método después. Anteriormente he hablando de otros tipos de ataques, para verlo puedes pinchar aquí.


Ayer estuve aburrido mientras que corregía algunos errores de KALI LINUX php7 y publique muchas capturas de pantallas que en el cual fueron de paginas XXX.
Te mostraré las capturas de pantalla.

csmt1bdwiaekygj csnu_xvweaamakk csmiqfrweaa_9pe
Muchos de mis seguidores no opinaron pero en instagram una persona se dio cuenta sobre ese resultado y te explicare como es posible esto.

Has leído sobre los ataques XSS que publique? Pincha aquí.

En la parte final te muestro los códigos en el cual te pones a revisar los códigos y la mayoría de paginas tiene script escrito pero si vamos a la deep web a pasear te darás cuentas que la pagina no tiene script bueno en mi caso fue las que me cruce. Y tenia que armarme mis propios XSS.
Me preguntarán como?

En nuestro navegador en mi caso un firefox podemos usar herramientas para inyectar códigos (FIREBUG) o editar el código. Vamos a hacer lo siguiente si vemos un script solo editamos la parte del script y colocamos lo siguiente.
screenshot-from-2016-09-13-12-58-18

WordPress no me deja escribir ningún tipo de códigos de XSS entonces les comparto la captura y asi podemos usar supuesto ataque xss, o puedes modificarlo usando burpsuite.
Me preguntarás como puedes detectar un ataque XSS?

Revisando la URL el script siempre viene con la URL ejemplo: url:script
Y así podemos saber sobre un verdadero XSS. Puedes aprovecharte usar el propio dominio con alguna inyección ya ese tema lo puedes encontrar más sobre xss pinchando aquí.

Gracias y no te olvides en compartirlo.