BUG O QUE ?

[emma93]

Bueno, he estado viendo algunas web's de méxico, y me he encontrado con esta con lo cual me he preguntado algo.

http://200.77.236.86/gobsearch/?paramValue=Gobierno&userQuery=<center><h1>emma93</h1></center>

Fijense, si ustedes ingresan a esa web, los parámetros que siguen despues de Userquery=.

Mi duda es, que puedo hacer en ese caso para hacer algo "mas" que imprimir un texto ?

Eso es un bug, o es normal encontrarlo en todas las web's ?

En caso de que sea un bug, como puedo explotarlo ?

Espero respuestas, saludos ! -

[‭lipman]

Eso seria un XSS, te recomiendo que busques acerca de ellos y así aprendes el objetivo de para que sirven.

Pero igualmente, he probado eso en firefox y ie, y yo diria que no lo es, porque no me sale nada.

[kamsky]

susbscribo lo de Lipman, y además añado una cosa, parece que la página es del gobierno, y si no eres capaz de identificar un supuesto XSS, te recomendaría que no andases donde no se debe...

un saludo

[emma93]

Se supone que no voy a hacer un deface.

Tengo 15 años pero tengo bien claro que al defacear una web del gobierno, ellos pueden tener tambien el dinero para ir a buscarte (Gracias HackxCrack lo aprendí de ti )

No es para ningún deface, nomás quiero hacer pruebas. Además me comentaron que mediante XSS no se podía defacear de una forma directa.

Estoy en lo cierto ? Saludos !

[YST]

Correcto , desde XSS no se puede defacear directamente , necesitarias robarle la coockie a un admin para poder defacear .

Saludos

[emma93]

Correcto , desde XSS no se puede defacear directamente , necesitarias robarle la coockie a un admin para poder defacear .

Saludos

Esas respuestas son las que necesito

Muchas gracias.

Saludos !

[WHK]

de hecho si se puede, si observas las peticiones xmlhttp de la función de la exploración de carpetas del costado, de todas formas si quieres divertirte aprendiendo es mejor que no vayas por ese lado y entres acá: http://warzone.elhacker.net/ , ahi hay pruebas de xss, sql inyección y todo bién documentadas, si quieres entretenerte aprendiendo usa ese porque asi como vas lo unico que sacarás es que despues gente de investigaciones anden visitando a tu casa como le pasó a alguien que conozco y de seguro debe estar leyendo esto también.

[emma93]

de hecho si se puede, si observas las peticiones xmlhttp de la función de la exploración de carpetas del costado, de todas formas si quieres divertirte aprendiendo es mejor que no vayas por ese lado y entres acá: http://warzone.elhacker.net/ , ahi hay pruebas de xss, sql inyección y todo bién documentadas, si quieres entretenerte aprendiendo usa ese porque asi como vas lo unico que sacarás es que despues gente de investigaciones anden visitando a tu casa como le pasó a alguien que conozco y de seguro debe estar leyendo esto también.

Aclaro por segunda vez, no intento hacer un deface ni nada por el estilo.

Nomás quería obtener mas información de XSS.

Nada más.

Saludos !

[Og.]

de hecho si se puede, si observas las peticiones xmlhttp de la función de la exploración de carpetas del costado, de todas formas si quieres divertirte aprendiendo es mejor que no vayas por ese lado y entres acá: http://warzone.elhacker.net/ , ahi hay pruebas de xss, sql inyección y todo bién documentadas, si quieres entretenerte aprendiendo usa ese porque asi como vas lo unico que sacarás es que despues gente de investigaciones anden visitando a tu casa como le pasó a alguien que conozco y de seguro debe estar leyendo esto también.

Aclaro por segunda vez, no intento hacer un deface ni nada por el estilo.

Nomás quería obtener mas información de XSS.

Nada más.

Saludos !

yo no recomendaria aprender a explotar vulnerabilidades xss en una pagina de gobierno
mejor haste un servidor casero y empieza a hacer codigos vulnerables (debes saber php), despues te "autoatacas" xD
o como dice WHK metete a http://warzone.elhacker.net

saludos!

[Erik#]

Juas, si tienen algun log y ven que estas intentando "molestar" puede pasar algo.