Fede_cp y Castg! Simple disclosure de Fotolog.com! xD

Iniciado por Castg!, 7 Febrero 2010, 06:03 AM

0 Miembros y 3 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2 3 4 5
Acciones del Usuario

Castg!

#30
9 Febrero 2010, 01:02 AM
osea, un formulario por get lo que hace es mandar los datos por la url o uri, pero todo lo demas esta perfecto...

~ Yoya ~

#31
9 Febrero 2010, 17:52 PM Ultima modificación: 9 Febrero 2010, 18:01 PM por yoyahack
Yo codeo en perl y php... Los metodos GET, POST son metodos de peticion HTTP...

Para explotar CSRF inporta mucho el metodo GET o POST, ejemplo.

Si tienes una web vulnerable a CSRF via POST. El usuari de esa web esta limitado a usar BBCODES y las url pasan por referer y verifican si la url no es de la web la ps la deniega en cambio si es de la misma web  la acepta.

Por eso digo que para explotar un CSRF metodo POST es mas limitado.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

Castg!

#32
9 Febrero 2010, 17:58 PM
yo como pastas y carnes, mi pileta es azul XD.


sinceramente que lindo lo que nos esformsamos con fede para hacer este post y que venga un tipo a desvirtuarlo por 2 paginas ni da. prq mejor se dejan de molestar, se las arreglan por mail, y comentan sobre NUESTRO post y nuestro tema, ya quede esto no tratamos de hablar de que es una p**a peticion http.

fede_cp

#33
9 Febrero 2010, 18:05 PM
osea yoyahack, puede que sea mas limitado, pero en este caso no se da asique poasteaste al pedo que era menos peligroso que esto que lo otro.


saludoss
somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!

~ Yoya ~

#34
9 Febrero 2010, 21:54 PM
Cita de: Castg! en  9 Febrero 2010, 17:58 PMp**a peticion http.
Yo no vengo a molestar a este foro, a mi solo me gusta colaborar y aveces aprendo cosas de los demas, pero Castg debes aprender a comportarte mejor.

Otra cosa, una cosa es molestar y otra debatir un tema, pero bueno no salte con las peticiones  HTTP porque se me ocurrió, solo porque tienen que ver con el tema, pero debes aceptar las buenas y las bajas.
Claro claro son buenos bug Castg, Felicidades ps.

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

Castg!

#35
10 Febrero 2010, 00:34 AM
bueno, gracias. solo digo que hagan otro tema para debatir, porq aca ponemos los bugs siendo xss y csrf, y metodos get  post no estan muy nombrados aca, asi que porfa la proxima hagan otro post ;)

tragantras

#36
10 Febrero 2010, 23:46 PM
sin ánimo ninguno de seguir desvirtuando este post, solo quería remarcar que el bypassing de el referer es cuestión trivial, es decir que la complicación de un csrf por post, quizá tan solo sea cuestion de ingeniera social, más que de problemas técnicos

un saludo y de nuevo felicidades por el descubrimiento =)
Colaboraciones:
1 2

Castg!

#37
11 Febrero 2010, 00:03 AM
jejej muchas gracias. me gusto mucho la forma de usar el frame ya que puedes crear un dominio y poner un frame a google(visible) y otros a csrf(invisibles) ;) un saludo grande ;)

WHK

#38
14 Febrero 2010, 07:27 AM
Lo agregué al post de recopilaciones, saludos  :D
Imprimir
Ir Arriba Páginas 1 2 3 4 5
Acciones del Usuario