Cross Site Scripting

Iniciado por berni69, 18 Mayo 2007, 13:53 PM

0 Miembros y 1 Visitante están viendo este tema.

berni69

ayada para un novato que empieza con esto  :P

buenas e estado escaneando una web determinada en busca de fallos y los fallos que he encontrado en dicha web han sido todos de tipo  "Cross Site Scripting" alguien me podria indicar en que consiste esta tecnica???

y como explotarla

Gracias
Errar es humano, pero para liar las cosas de verdad se necesita un ordenador

Tutorial Swifi keygen + Airwin 2.0

berni69

se me olvidaba el codigo que me aparece
This vulnerability affect: /galeria/upload.php

The post variable URI_array%5b/5d has been set to <%00script>alert(1606039905)%3b</script>


Errar es humano, pero para liar las cosas de verdad se necesita un ordenador

Tutorial Swifi keygen + Airwin 2.0

yeikos

Tienes que asignarle a la variable URI_array el código que quieres inyectar.

<%00script>alert(1606039905)%3b</script>

He probado en Firefox 2.0.0.3, Internet Explorer 6.0 y K-Meleon 1.02 el código a inyectar y en ninguno de ellos se ejecuta el script.

berni69

Errar es humano, pero para liar las cosas de verdad se necesita un ordenador

Tutorial Swifi keygen + Airwin 2.0


berni69

tampoco sse me ejecuta a mi pero esa es la info que me saco el Acunetix Web Vulnerability Scanner 4
Errar es humano, pero para liar las cosas de verdad se necesita un ordenador

Tutorial Swifi keygen + Airwin 2.0

yeikos

Cita de: berni69 en 19 Mayo 2007, 14:14 PM
tampoco sse me ejecuta a mi pero esa es la info que me saco el Acunetix Web Vulnerability Scanner 4

Seguramente esa inyección tan solo afecta a versiones antiguas de navegadores, por lo tanto la probabilida de exito es casi nula...

berni69

pos entonces...
uso un navegador antiguo ;Do busco otras vulnerabilidades???
Errar es humano, pero para liar las cosas de verdad se necesita un ordenador

Tutorial Swifi keygen + Airwin 2.0

Tengu

aquio va otra consulta:Algun consejo para explotar este xss?

This vulnerability affects /index.php.

Attack details
The GET variable nuevo_ano has been set to >'><ScRiPt%20%0a%0d>alert(1978329455)%3B</ScRiPt>.

Encuentros por Video y Chat !!

yeikos

Con tan poca información no vamos a poder ayudarte...