Reto hacking!

Iniciado por f0ns, 21 Marzo 2010, 16:21 PM

0 Miembros y 1 Visitante están viendo este tema.

Og.

bueno, el blind sql injection es claro.
pero como hare consultas si no puedo poner espacios xD
|-

fede_cp

somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!

any

Any
#12
 >:(

sekafry11

ola.
Soy nuevo y no se muy bien como es este reto si me exprican un poco mas que hay que hacer alomejor puedo participar aunque no creo por que se pocas cosas aora mismo me estoy leyendo todos los temas para intentar ser tan bueno como vosotros.
si se trata sobre codigos HTML o CSS si puedo participar (es lo unico que se por el momento aparte de lo fundamental) :P

f0ns

Cita de: fede_cp en 13 Abril 2010, 01:53 AM
encontre un bug xss

http://sevestworld.com/reto/charla/index.php?font=%22%3E%3Cscript%3Ealert%28%22bug+por+fede_cp%22%29%3C/script%3E

ahora me fijo lo demas

Obviamente NO es un bug, es el vector de ataque para la demo de XSS filter bypass de la charla que hicimos un compañero y yo.

El reto está en la pagina que he linkado.
Un saludo

Exheon

#15
por lo menos se que la base de datos esta fallando en la internacionalización.



 :laugh: :laugh: :laugh:                     ;D ;D ;D

Probando XSS...

f0ns

Es un reto del lado del servidor, por lo que el XSS en este caso no sería una opción.

PD. muy bueno eso jeje

Exheon

je je, me alegra que haya hecho gracia...


... por otro lado, soy bastante newbie asi que este desafio me lo tomo como un objetivo de mediano plazo, voy aprendiendo cosas y probando, ahora mismo estoy aprendiendo a hacer programas en PHP, de hecho no hace mucho que instale un server apache para ir probando en local...  :¬¬ y hasta le he dado vueltas su httpd.conf y este diantres todavia no me respeta  :¬¬ ...  pero bueno, la cosa es que como PHP es de lado servidor y tiene buena interoperabilidad con MySQL quizas por ahi le pueda atinar por lo menos de empezada, tambien estoy leyendo algo de teoria acerca de una tecnica que vi que se usa en estos casos "blind sql injection", ojala hubiesen textos mas como for dummies. jeje