BUG O QUE ?

Iniciado por emma93, 27 Agosto 2009, 05:52 AM

0 Miembros y 2 Visitantes están viendo este tema.

emma93

Bueno, he estado viendo algunas web's de méxico, y me he encontrado con esta con lo cual me he preguntado algo.

http://200.77.236.86/gobsearch/?paramValue=Gobierno&userQuery=<center><h1>emma93</h1></center>

Fijense, si ustedes ingresan a esa web, los parámetros que siguen despues de Userquery=.

Mi duda es, que puedo hacer en ese caso para hacer algo "mas" que imprimir un texto ?

Eso es un bug, o es normal encontrarlo en todas las web's ?

En caso de que sea un bug, como puedo explotarlo ?

Espero respuestas, saludos ! -

‭lipman

Eso seria un XSS, te recomiendo que busques acerca de ellos y así aprendes el objetivo de para que sirven.

Pero igualmente, he probado eso en firefox y ie, y yo diria que no lo es, porque no me sale nada.

kamsky

susbscribo lo de Lipman, y además añado una cosa, parece que la página es del gobierno, y si no eres capaz de identificar un supuesto XSS, te recomendaría que no andases donde no se debe...

un saludo
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

emma93

Se supone que no voy a hacer un deface.

Tengo 15 años pero tengo bien claro que al defacear una web del gobierno, ellos pueden tener tambien el dinero para ir a buscarte (Gracias HackxCrack lo aprendí de ti :P)

No es para ningún deface, nomás quiero hacer pruebas. Además me comentaron que mediante XSS no se podía defacear de una forma directa.

Estoy en lo cierto ? Saludos !

YST

Correcto , desde XSS no se puede defacear directamente , necesitarias robarle la coockie a un admin para poder defacear :P .

Saludos


Yo le enseñe a Kayser a usar objetos en ASM

emma93

Cita de: YST en 27 Agosto 2009, 17:29 PM
Correcto , desde XSS no se puede defacear directamente , necesitarias robarle la coockie a un admin para poder defacear :P .

Saludos

Esas respuestas son las que necesito :P

Muchas gracias.

Saludos !

WHK

de hecho si se puede, si observas las peticiones xmlhttp de la función de la exploración de carpetas del costado, de todas formas si quieres divertirte aprendiendo es mejor que no vayas por ese lado y entres acá: http://warzone.elhacker.net/ , ahi hay pruebas de xss, sql inyección y todo bién documentadas, si quieres entretenerte aprendiendo usa ese porque asi como vas lo unico que sacarás es que despues gente de investigaciones anden visitando a tu casa como le pasó a alguien que conozco y de seguro debe estar leyendo esto también.

emma93

Cita de: WHK en 27 Agosto 2009, 23:04 PM
de hecho si se puede, si observas las peticiones xmlhttp de la función de la exploración de carpetas del costado, de todas formas si quieres divertirte aprendiendo es mejor que no vayas por ese lado y entres acá: http://warzone.elhacker.net/ , ahi hay pruebas de xss, sql inyección y todo bién documentadas, si quieres entretenerte aprendiendo usa ese porque asi como vas lo unico que sacarás es que despues gente de investigaciones anden visitando a tu casa como le pasó a alguien que conozco y de seguro debe estar leyendo esto también.

Aclaro por segunda vez, no intento hacer un deface ni nada por el estilo.

Nomás quería obtener mas información de XSS.

Nada más.

Saludos !

Og.

Cita de: emma93 en 28 Agosto 2009, 03:01 AM
Cita de: WHK en 27 Agosto 2009, 23:04 PM
de hecho si se puede, si observas las peticiones xmlhttp de la función de la exploración de carpetas del costado, de todas formas si quieres divertirte aprendiendo es mejor que no vayas por ese lado y entres acá: http://warzone.elhacker.net/ , ahi hay pruebas de xss, sql inyección y todo bién documentadas, si quieres entretenerte aprendiendo usa ese porque asi como vas lo unico que sacarás es que despues gente de investigaciones anden visitando a tu casa como le pasó a alguien que conozco y de seguro debe estar leyendo esto también.

Aclaro por segunda vez, no intento hacer un deface ni nada por el estilo.

Nomás quería obtener mas información de XSS.

Nada más.

Saludos !

:P yo no recomendaria aprender a explotar vulnerabilidades xss en una pagina de gobierno
mejor haste un servidor casero y empieza a hacer codigos vulnerables (debes saber php), despues te "autoatacas" xD
o como dice WHK metete a http://warzone.elhacker.net

saludos!
|-

Erik#

Juas, si tienen algun log y ven que estas intentando "molestar" puede pasar algo.