Vulnerabilidad XSS en tuenti.

[braulio--]

No lo he probado mucho, pero estoy casi seguro de que se puede evitar lo de la ventana , porque el código se inyecta en la función de que aparezca lo de la ventana.

[xassiz_]

Una cosa es tener que clicar un link y que salte un XSS, y otra es clicar un link ver un mensaje de alerta y tener que darle al OK.

Pero de todas formas, si le mandas el "link de youtube" tambien le saldria

Aunque como dice braulio supongo que en la inyeccion tambien puedes hacer que se ignore lo que sigue..

[tragantras]

fixed it!


está arreglado ya :/

[braulio--]

fixed it!


está arreglado ya :/

Que va, todavía no está arreglada.

[tragantras]

fixed it!


está arreglado ya :/

Que va, todavía no está arreglada.

a ver braulio23, en la actualidad ( no se si cuando tu lo descubriste se podia ) está arreglado, cuando tu mismo pinchas si te va, pero si t lo envia alguien no va, y d ello estoy bastante seguro xD

[braulio--]

ahh, eso no se , vale. Lo voy a probar.
Cierto, está arreglado.

[peib0l]

si tanto os gustan los bugs en tuenti... pues

mirar la web del amigo

http://seguridad.dimitrix.es

no es spam, lo pongo poruqe hay varios bugs XSS


Salu2

[.;.]

Yo lo he visto recientemente y sigue funcionando.

[braulio--]

Cuando lo mandas tu si, pero al otro se le manda modificado.

[MonzterKuki.]

al otro no le sale el  codigo XSS que mandaste simplemente le sale el http://hola

y pablo lo vio seguramente echo por mi en el tuenti que acabo de ver esto y no sabia que estubiera descubierto ya 



PD:Pablo tenias razón ya estaba encontrado el XSS