Adivina como hice este hemoso XSS!

Iniciado por Jubjub, 30 Mayo 2009, 20:35 PM

0 Miembros y 1 Visitante están viendo este tema.

Jubjub

Esta tarde, en un ataque de "inspiracion" (si se peude llamar asi  :P ) se me ocurrio una forma de ""XSS"", o incluso de hacer inyecciones SQL por una via de entrada muy utilizada, pero en la que nadie suele reparar ni es filtrada..

En resumen.. ¿sabes como hice este XSS? (Solo con la direcciond e la web es facil  :laugh: )

Pista: No fue en la peticion GET ni POST (modificada)

Jugando con Fósforoshacking con un tono diferente


.
porno

odeONeSs

X-Forwarded-For o client-IP no??? Me equivoco??

Un saludo!!  :D
Cambio de firma de prueba

braulio--

Cita de: odeONeSs en 30 Mayo 2009, 21:09 PM
X-Forwarded-For o client-IP no??? Me equivoco??

Un saludo!!  :D
He probado con esas dos y nada.
Estoy intrigado.

Jubjub

Aqui esta la solucion: (enhorabuena odeONeSs)



Pense que seria mas dificil :P
Jugando con Fósforoshacking con un tono diferente


.
porno

odeONeSs

#4
 ;D ;D ;D ;D jejejej hice pruebas sobre eso hace tiempo, lo que pasa que para encontrar una sqli de ese tipo es muy dificil, ya que no se suelen hacer filtrados de ips (a no ser que esten ddoseando la web)

PD: XSS es mucho mas facil de encontrar

Un saludo!!
Cambio de firma de prueba

braulio--

Pues yo lo he probado añadiendo la cabecera con el Live Http Headers y no me va.
Lo debo hacer mal...

Darioxhcx

el topic tiene mas pinta
off-topic q cualkier otra cosa xDD

ya sabia eso u.u
saludos

Jubjub

u.u al fin y al cabo es un Bug a Nivel Web (vulnerabilidad de pende ya de tu habilidad :P )
Jugando con Fósforoshacking con un tono diferente


.
porno

odeONeSs

A mi me funciona perfectamente xD

Cambio de firma de prueba

Darioxhcx

si eso si :P
cualesmiip.com y todas esas tmb lo tienen
login-root puso un video sobre esto hace tiempo aca

a lo que iba es que primer post lo decis
"adivinen como hice esto"

se supone que un poco de informacion se tiene que dar sobre X vuln
o x lo menos dar el nombre... no jugar a las adivinanzas

a eso voy :P

saludos