[Finalizado] Hackea a elhacker.net v2.0 (ganador: yoya)

Iniciado por WHK, 3 Febrero 2012, 14:12 PM

0 Miembros y 1 Visitante están viendo este tema.

WHK

Yo mismo soy pollo9 y hare lo posible para que la cuenta caiga, la idea es que ustedes hagan un test que demuestre que es posible explotar el bug, también pueden hacer un video y colgarlo en youtube y pegar el enlace acá... la idea solamente es demostrar que el bug es efectivo, de hecho el bug ya lo encontraron, solo que deben modificar una firma del perfil de alguien para saber si realmente el que encontró la falla la enocntrtó por si mismo o alguien mas se la dijo, el que ehncuentre el bug será capaz de realizar la prueba sin problemas.


p0is0n-123

Cita de: p0is0n-123 en 14 Febrero 2012, 19:11 PM

Probando...

No puedo setear el referer desde javascript porque ya está seteado previamente y esa opción está deshabilitada por razones de seguridad. Solo me falta eso... asique a pensar!! Acepto ideas  :rolleyes:

Un saludo :)
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net

m0rf

Para falsificar el referer tienes que construir la petición desde php y poner el referer que quieras manualmente.

Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?

p0is0n-123

@m0rf: Así se estaría conectando el servidor que ejecute php y también necesitaríamos tener la cookie lo cual complica todo un poco. WHK dijo que es posible hacerlo simplemente con el token de seguridad  :rolleyes:

Un saludo, gracias por la idea!
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net

h3ct0r

#95
Test! :silbar:
[img[/img]

p0is0n-123

Bueno, creo que he superado el reto y he hecho un vídeo con mi usuario.
Si WHK no lo da por válido, les acabo de poner en bandeja como solucionarlo xD

Cita de: WHK en 15 Febrero 2012, 17:44 PM
También pueden hacer un video y colgarlo en youtube y pegar el enlace acá... la idea solamente es demostrar que el bug es efectivo, de hecho el bug ya lo encontraron, solo que deben modificar una firma del perfil de alguien para saber si realmente el que encontró la falla la enocntrtó por si mismo o alguien mas se la dijo, el que ehncuentre el bug será capaz de realizar la prueba sin problemas.

Descarga vídeo

Espero que sea válido  :-(
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net

peib0l

Cita de: p0is0n-123 en 15 Febrero 2012, 21:51 PM
Bueno, creo que he superado el reto y he hecho un vídeo con mi usuario.
Si WHK no lo da por válido, les acabo de poner en bandeja como solucionarlo xD

Descarga vídeo

Espero que sea válido  :-(

emm, es una vulnerabilidad pero solo lo haces con tu sesion, se supone que cada vez cambia, asi que no es tan grave

adrianmendezRap

#98
Espero que ganes, igualmente voy aprobar una cosa

EDIT
No es antiguo... es de coleccionista.

raul338

Para mi gano p0is0n-123!!!

Y ahora, como seria el parche al codigo fuente? :)