Ataque David Hasselhoff en chats ajenos

Realizar un ataque David Hasselhoff a una web

Una de las cosas mas divertidas de los chats, son a menudo las vulnerabilidades de XSS lo cual nos permiten a nosotros hacer básicamente… cualquier cosa, hace tiempo publiqué un artículo donde hablaba sobre como realizar un ataque David Hasselhoff el cual gustó bastante, pues hoy os traigo como hacer lo mismo, solo que con una web.

ataque david hasselhoff en chats ajenos

ataque david hasselhoff en chats ajenos

Antes de nada, dejen me decir que este ataque lo realicé en un chat que creó un par de colegas también Hackers pero vagos a rematar, con su… “consentimiento”.

Además, en este chat cada vez que refrescas la página se limpia el historial del chat por lo que este ataque xss NO es persistente por lo que si les molesta mucho solo tienen que pulsar F5 y automáticamente desaparecerá.

El caso es que nos pasamos como mas de 2h haciéndonos ataques de xss mutuamente, hasta que al final me cansé y les puse un bonito script que carga miles de imágenes simultáneamente y de manera constante el cual a los pocos segundos ya te había consumido 8GB de RAM el navegador y tenías que reiniciar o cerrar el navegador desde el administrador de tareas, aun que esta última no salió muy bien ya que mi navegador también se petaba, pero en el amor y en la guerra todo vale.

¿Qué es XSS?

Muchos ya lo sabréis pero otros estoy seguro que no así que explicaré brevemente que es XSS.

XSS es una vulnerabilidad de entornos web que es la mas habitual a día de hoy tal vez por detrás de SQL Injection, en lo que consiste es en que un usuario que en principio no podría hacerlo es capaz de incrustar código HTML o JS entre otros y existen dos tipos:

  • Persistentes: Cuando recargas la página se siguen manteniendo.
  • No persistentes: Cuando recargas la página desaparecen.

En este caso el ataque no es persistente por lo que solo dura hasta que recargas la página en muchos chats que no guardan el historial de la conversación es así como suceden, otras muchas veces se puede utilizar un sql injection para almacenar un script por ejemplo en la base de datos y este será ejecutado cada vez que acceda a la web.

Esto es un ejemplo de un XSS

Esto es un ejemplo de un XSS

¿Como realizar este ataque?

Bueno, eso depende mucho del sitio donde lo quieras realizar, en este caso la protección es absurda por lo que básicamente no tienes ningún tipo de filtro al mandar la información por lo que puedes mandar lo que quieras y la web simplemente lo ejecuta.

En este caso yo simplemente cree un div que cubriese toda la pantalla posicion fixed y la imagen de David Hasselhoff a ancho casi completo.

<div style="position:fixed; top:0px; left:0px; z-index: 100000; width:100%; background-color: black; height:100%;"><img src="https://uk.animalblog.co/wp-content/uploads/2015/10/David-Hasselhoff.jpg" style="width:70%; height:100%;"/></div>

Simplemente divertido, solo con eso ya solo tendríamos que enviarlo y listo! 😉

mandando el código html

mandando el código html

ataque david hasselhoff en web ajena conseguido! ;)

ataque david hasselhoff en chats ajenos conseguido! 😉

Y bueno, eso ha sido todo, espero que os haya sido útil y que al menos hayáis aprendido un poco sobre XSS.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *