[°] XSS en "Fantastico Deluxe" (Hosting Cpanel)

Iniciado por dimitrix, 2 Septiembre 2008, 19:44 PM

0 Miembros y 1 Visitante están viendo este tema.

dimitrix

XSS en "Fantastico Deluxe" (Hosting Cpanel)

Fantastic Deluxe es una herramienta gratuita que viene instalada por defecto en la mayoría de servidores con Cpanel, puede que no se use, no obstante es vulnerable a XSS y eso si que es importante ya que si se accede donde está esta herramienta se accede a todo el panel de control de Cpanel.




http://www.dominio.com:2082/frontend/x3/fantastico/send_extra_notification.php?email_address=[XSS]




dimitrix

Me he dado cuenta de que hay más XSS en el fantastic.

Un saludo.




‭lipman

Enorabuena por encontrarlo

Actualmente conozco varios hostings con el cpanel, y varios gratuitos como ifastnet creo

dimitrix

#3
Gracias lipman. El problema que tengo con esto, es que no se quien lo ha creado, por mucho que busque por Google, no se quien lo ha creado y no puedo informar.

Un saludo.




Eazy

[/url]

NaSaRiD15

#5
Una pregunta, existe esta vulnerabilidad en todas las verciones del cpanel? o solo en algunas?.

Disculpa la ignorancia pero si te animas a explicarlo un poquito mas, estaria muy agradecido.

Gracias y saludos.
Hay que tomarse un tiempo para comprender que solamente sos lo que sos, de ahi a todo lo que tu quieras ser, eso ya depende de vos...

dimitrix

Cita de: NaSaRiD15 en  3 Septiembre 2008, 05:56 AM
Una pregunta, existe esta vulnerabilidad en todas las verciones del cpanel? o solo en algunas?.

Disculpa la ignorancia pero si te animas a explicarlo un poquito mas, estaria muy agradecido.

Gracias y saludos.

Creo que está en todas las versiones, pero ya te digo que es una herramienta que está en los Cpanels pero que los administradores creo que pueden no ponerla.

Un saludo.




NaSaRiD15

Sisi, ya se que el fantastiko es una herramineta del Cpanel solo queria saber cual fue el codigo que insertaste aqui.

http://www.dominio.com:2082/frontend/x3/fantastico/send_extra_notification.php?email_address=[XSS]

Gracias y saludos.
Hay que tomarse un tiempo para comprender que solamente sos lo que sos, de ahi a todo lo que tu quieras ser, eso ya depende de vos...

dimitrix

Te cuento, mira esto:
http://es.wikipedia.org/wiki/Cross_Site_Scripting

XSS simplemente inyección de código HTML o Scripts que le ejecutan en la máquina cliente, en ningún caso en el servidor (mientras no se guarde en un log y luego se muestre).

Ahí lo único que puse fue una imagen mía, pero aquí tienes un ejemplo:
<img src="http://foro.elhacker.net/Themes/converted/images/icons/folder_open.gif" alt="+" border="0">

Si quireres acceder al de otro, tendrás que hacer un script que te envíe las cookies para así acceder, un saludo.




BenRu

Para esto, tendrás que estar logueado en Cpanel...de ser así, que sentido tiene?


Un saludo