Hack my site

Danielyyo · 23 Julio 2010, 13:08 PM

Hola a todos,

Ando finalizando mi proyecto fin de carrera en seguridad en Web 2.0 el cual incluye el desarrollo de un pequeño site del tipo red social. Ahora mismo tengo la beta publicada, y la idea es atacarlo y realizar una nueva version mejorando la seguridad.

Sentios libres de experimentar con hackw20.tk y por favor, documentad vuestros ataques y posteadlos aqui o al email del administrador. Cualquier sugerencia de cualquier tipo es bienvenida (pero preferiblemente sobre aspectos de seguridad, ya se que la funcionalidad del sitio es muy pobre )

Gracias de antemano. Nos vemos por aqui.

Darioxhcx · 23 Julio 2010, 13:14 PM

http://80.34.108.239/hackw20/application/user_management/login.php?msg=%3Ch1%3Easd

xd
con eso solo no podemo hacer nada che ?¿

Danielyyo · 23 Julio 2010, 13:17 PM

Bueno, supongo que puedes forzar la escritura de cualquier mensaje de error, pero eso no es ningun problema de seguridad, ¿no?. Tomo nota de la sugerencia de todos modos.

Gracias, un saludo.

Darioxhcx · 23 Julio 2010, 13:20 PM

http://80.34.108.239/hackw20/application/user_management/login.php?msg=%3Cscript%3Ealert(document.cookie)%3C/script%3E

xss...
mmmmmmmm

Danielyyo · 23 Julio 2010, 13:32 PM

Si me ilustras un poco te lo agradeceria, solo veo un pop-up que muestra las cookies, pero no se hasta que punto eso puede suponer un problema, puedes inspeccionar las cookies de muchas otras maneras. Mencionas XSS, pero no veo como puedes aplicarlo aqui. Perdon si son cosas evidentes para algunos, pero no soy ningun experto en seguridad.

De cualquier modo tambien me gustaria aprender a reventar mi propia aplicacion, mas que nada para aprender, asique si teneis por ahi documentacion util, os ruego que me remitais a ella. Buscare tambien por mi cuenta.

Gracias!

Darioxhcx · 23 Julio 2010, 13:33 PM

http://foro.elhacker.net/tutoriales_documentacion/tutorial_ataques_xss-t32042.0.html
http://foro.elhacker.net/tutoriales_documentacion/los_poderes_secretos_de_xss_cross_site_scripting-t98324.0.html
http://es.wikipedia.org/wiki/Cross-site_scripting

saludos

KaozC9 · 25 Julio 2010, 03:58 AM

Si funcionara, intentaria hacer algo

"Object Not Found
The requested URL '/hackw20/application/user_management/login.php' was not found on the RomPager server.

Return to last page"

Darioxhcx · 25 Julio 2010, 04:05 AM

Cita de: KaozC9 en 25 Julio 2010, 03:58 AM
Si funcionara, intentaria hacer algo

"Object Not Found
The requested URL '/hackw20/application/user_management/login.php' was not found on the RomPager server.

Return to last page"

WTF
si funcionara que ? ._________.

Zazú · 25 Julio 2010, 04:21 AM

Si funcionara la página dario

Darioxhcx · 25 Julio 2010, 04:34 AM

Cita de: Zazú en 25 Julio 2010, 04:21 AM
Si funcionara la página dario

ahhh mira vos no entendia

http://80.34.108.239/hackw20/application/user_management

debe ser un local..
valla uno a saber