Boa Noite !!! Na aula de Cross Site Scripting (XSS) , o professor demonstra os ataques usando uma intranet , ou seja os Ips são fixos não roteados, então explica as tecnicas de sequestro de informação, bom o que gostaria de saber , é porque ele não usou Ips anonimos online , por exemplo , usar o O Java Anon Proxy, também conhecido como JAP ou JonDonym, é um sistema proxy projetado para permitir a navegação na Web com pseudonimato revogável. Assim nas maquinas virtuais tanto do Hacker como da Vitima poderiam ser minimizadas, faria os ataques online e não em um conceito de intranet , o que me parece que essa técnica não é tão garantida, é só por informação !!! Obrigado, fico no aguardo da resposta !!!!
Solucionado (ver solução)
Solucionado
(ver solução)
3
respostas
respostas
Cross Site Scripting (XSS) - Curso de Segurança Web
Oi Márcio,
Você se refere à aplicação na qual ele demonstra os ataques?
Caso sim, isso é porque o instrutor está executando localmente a aplicação Mutillidae do OWASP(https://github.com/webpwnized/mutillidae), que é uma aplicação contendo vulnerabilidades de propósito para fins de estudo sobre os ataques.
Mas poderia ser qualquer aplicação hospedada em qualquer servidor na internet, que os conceitos seriam os mesmos.
Ele usou maquinas virtuais (Oracle Virtual Box)para simular os ataques entre a Maquina do Hacker e da Vitima, o que fiquei curioso é que ele não usou IP anonimo, ele usava codigo JavaScript e fazia as ações acontecerem (como ele estava usando a mesma rede de conexão para as VMs, eu sei que não teria necessidade de usar IP´s roteados, mas em um cenário real , acredito que o IP deveria ser anonimo) online no site da Vitima , o demais eu entendi . Obrigado por responder !!!!
solução!
Olá Márcio,
Obrigado pelo feedback, com certeza seria uma forma bem interessante de abordagem. Na época em que montei o curso, pensei que seria melhor criar esse ambiente virtualizado com o objetivo dos alunos que fizessem o curso conseguissem replicar e ter um controle sobre o ambiente de testes.
Abs