Cambiar idioma.

Iniciado por PHAMTOM, 13 Agosto 2010, 06:44 AM

0 Miembros y 1 Visitante están viendo este tema.

PHAMTOM

Buenas,e escuchado o leido , que hay una vulnerabilidad que se explota, con el cambio de idiomas en los sitios webs que tienen para elegir difernetes idiomas.

A que se puede llegar ? , a que afecta ?.

Que vulnerabilidad es ?

Hay algo de documnetacion ??

muchas gracias de antemano.
Miran a cualquier ventana, mientras su pánico emana
y nubla su visión mi calma es pura precisión
cargo munición y miro tranquilo
ya ni respiro desde al ático os vigilo sigo al filo os tengo a tiro!

La kitchner quiere tanto a los pobres,que cada vez,tiene más

Erfiug

puede ser RFI, SQL inj, XSS depende de como sea el código vulnerable....

Esta pregunta es equivalente a: He oido que hay paginas con noticias vulnerables, que vulnerabildad es? (pues dependerá de cada caso...)

tragantras

aisss gracias a eso, conseguí mi primera intrusion web! qué recuerdos ( todos recordamos nuestra primera, no?! jaja )

pues a ver... te explico como fue en mi caso:


La web estaba montada siguiendo de la siguiente manera ( o algo parecido! )


Código (php) [Seleccionar]


<?

define("SALUDO_ESP", "Bienvenio colega");
define("SALUDO_ENG", "Welcome mate");

session_start();
$_SESSION["pageLanguage"]=$_GET["idLanguage"];

eval("echo SALUDO_".$_GET["idLanguage"].";");
echo "done";

?>




Como ves, el input no se sanea ni siquiera se compruba contra una whitelist ni nada.

La manera en que se exploita esto es sencilla:

Código (php-brief) [Seleccionar]
pagina.com/cambiarIdioma.php?idLanguage=ESP; phpinfo()

como la cadena se interpreta dinamicamente pueds salir del echo y ejecutar cualquier codigo!


PD: si no me he explicado bien, postea y te lo explico mejor ( loo mio no es epxlicar xD )

Colaboraciones:
1 2