Altoro Mutual XSS

[DienerAl]

Hallo zusammen,

ich versuche mich aktuell an der Website Altoro Mutual, welche vielen hier bereits bekannt sein sollte
Ich habe es bereits geschafft, mich ohne passwort einzuloggen und mir bspw. über ein paar SQL-Befehle verschiedenes aus der Datenbank ausgeben zu lassen.
Nun will ich aber per XSS einem nicht eingeloggten User eine Login Seite vorspielen, auf welcher er dann sein benutzername + passwort eingibt. Diese daten werden dann an einen beliebigen Server geschickt. Damit er nichts merkt, wird er von dem Script automatisch eingeloggt.

Anschließend würde ich gerne bei einem bereits eingeloggten User einen XSS Angriff ausführen und dessen Passwort+Nutzername auslesen und an einen Server schicken.
Soweit der Plan.
Jedoch schaffe ich es nicht, auch nur ein winziges Script auszuführen! (Bspw. <script>alert(It works!)</script>).

Kann mir dabei jemand helfen? Eigentlich hätte es doch ein leichtes sein sollen, auf dieser Website..

DienerAl

 

[blub.txt]

Ein klassisches Beispiel für Cross-Site-Scripting ist die Übergabe von Parametern an ein serverseitiges Skript, das eine dynamische Webseite erzeugt. Dies kann etwa das Eingabeformular einer Webseite sein, wie in Webshops, Foren, Blogs und Wikis üblich.

Es befinden sich, auf den ersten Blick, 3 Eingabeformulare auf der Seite. Mindestens eins davon ist offen für Cross-Site-Scripting.

 

[DienerAl]

Ich habe es mit der Suchzeile probiert und auch mit dem Feedback Formular.
Vermutlich liegt es dann an meinem OS, dass ich keinen alert bekomme, denn wenn ich "<script>alert(It works!)</script>" (ohne ") in die Suchzeile eingebe, wird nicht wie normalerweise angezeigt:

No results were found for the query:
[HIER SUCHEINGABE]

sondern schlichtweg nichts. Keine Sucheingabe wird angezeigt. Also wird sie wohl vom System ausgeführt worden sein, schätze ich. Aber ich bekomme keinen alert.

 

[SchwarzeBeere]

Einfach mal mit " versuchen: <script>alert("hi")</script>

Und für weitere mögliche Angriffe: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

 

[DienerAl]

Ich schätze dass diese alerts einfach bei mir geblockt werden. ich bekomme da kein Ergebnis.

 

[lNobodyl]

Welchen Browser benutzt du?
Chrome hat einen eingebauten XSS Filter der das Ausnutzen solcher Attacken abwehrt. Bei Stored XSS greift er soweit ich weiß nicht.
Es gibt noch Möglichkeiten den XSS Filter von Chrome zu umgehen, aber für den Anfang solltest du ihn deaktivieren oder auf einen anderen Browser ( ich benutze Firefox) umsteigen.

(In deinem Startpost musst du Text in Anführungszeichen setzen. <script>alert("Hallo")</script>. Zahlen brauchst du nicht in Anführungszeichen zu setzen. <script>alert(1337)</script>)