Test Foro de elhacker.net SMF 2.1

Hola gente.
Tengo un XSS en una web, pero me ponen la \ antes del '

Se puede de igual manera enviarme su cookie???
De que manera podria?

Tengo ésto:
xxx.php?id_lugar=1>"></iframe><script>alert(123)</script>

Eso funciona perfectamente.. pero si pongo una 'Hola' en vez del 123, se rompe todo... :(

Alguna recomendacion?

Si, se puede usando
document.write(String.fromCharCode(cadena en ascii));



ejemplo

document.write(String.fromCharCode(65,66,67));

salida: abc

Probado, y funciona perfectamente.

Muchisimas gracias

Buenisimo, de nada

suerte

:http://xssdb.dabbledb.com/publish/attackdb/dc23ad51-25ef-4fdc-92be-4a7cb606387e/xssdb.html
:http://ha.ckers.org/xss.html

Me parece medio idiota que comentes cuando ya habia solucionado el problema, y más si lo haces para aumentar tu rango ;)


:rolleyes:

Cita de: Zazú en  2 Agosto 2010, 04:04 AMMe parece medio idiota que comentes cuando ya habia solucionado el problema, ...

La solución que le diste no es la única que existe. Si no te gusta conocer más opciones ps que IDIOTA eres ;)

Cita de: Zazú en  2 Agosto 2010, 04:04 AM
Me parece medio idiota que comentes cuando ya habia solucionado el problema, y más si lo haces para aumentar tu rango ;)


:rolleyes:

0.0 la boludes del día :xD

Cita de: Shell Root en  2 Agosto 2010, 04:15 AM

Cita de: Zazú en  2 Agosto 2010, 04:04 AMMe parece medio idiota que comentes cuando ya habia solucionado el problema, ...

La solución que le diste no es la única que existe. Si no te gusta conocer más opciones ps que IDIOTA eres ;)

Una lastima me das u.u

PHAMTOM

Cita de: PHAMTOM en  2 Agosto 2010, 04:50 AMUna lastima me das u.u

Ehh?


xxx.php?id_lugar=1>"></iframe><script>alert(/Hola/)</script>

alert(<>wuups</>);

Cita de: cgvwzq en  2 Agosto 2010, 21:00 PM

Código (javascript) [Seleccionar] Expandir

alert(<>wuups</>);

Y eso?

Es igual a que tuviera comillas o Slashes
javascript:alert(<>wuups</>);

Sirve para todo?

Apaa.. pero que interesante..

Queda confirmado entonces que javascript está hecho PURA Y EXCLUSIVAMENTE para realizar ataques XSS

Cita de: Skeletron en  3 Agosto 2010, 02:41 AMQueda confirmado entonces que javascript está hecho PURA Y EXCLUSIVAMENTE para realizar ataques XSS

Cita de: WikipediaXSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.

Bueno.. pero javascript, el 90% de sus usos, es para hacer XSS... para ROBARTE LOS DATOS... no la puede hacer TAN FACIL...

para nada, el responsable de eso es el  mismo sitio web.
es como decir que php y mysql están hechos para hacer  sql injection.
eso va en el programador, en que tome los cuidados  para que no pasen esas cosas.
lamentablemente, cada vez se ve mas como falta conoccimiento por parte de los programadores de las  vulnerabilidades a nivel web.

saludos