medio xss en fotolog

Iniciado por Castg!, 30 Enero 2010, 20:55 PM

0 Miembros y 1 Visitante están viendo este tema.

Castg!

buenas, taba navegando por fotolog asi me efeaban por reverse y vi esto:
http://account.fotolog.com/login?redirect=
me llamo la atencion y vi donde se guardava ese valor, era en un input del tipo hidden, asique puse:
http://account.fotolog.com/login?redirect=a%22%3E%3Cscript%3Ealert%281%29;%3C/script%3E

y vi que no sucedia nada, al ver el codigo fuente descubri que me borraba los caracteres "<" y ">", asique empece a intentar con "onevent" "onsubmit" "onload" con todo xD! pero no encontre nada, ahora sinceramente no me interesa fotolog, pero este tipo de vulknerabilidades tinee algun salteo? se entiende? osea hay forma de poner esos caracteres. este xss (porq es un xss nomas que me filtra ><) es tipo al que encontro fede_cp pero en el cambio de lenguaje...

WHK

#1
Válido para internet explorer

http://account.fotolog.com/login?redirect=a" style="width: epresionje(alert('XSS'));" x="x

Donde dice epresionje es expression