Vulnerabilidad XSS en tuenti.

Iniciado por braulio--, 30 Octubre 2009, 17:37 PM

0 Miembros y 2 Visitantes están viendo este tema.

braulio--

No lo he probado mucho, pero estoy casi seguro de que se puede evitar lo de la ventana , porque el código se inyecta en la función de que aparezca lo de la ventana.

xassiz_

Cita de: yasión en  2 Noviembre 2009, 19:59 PM
Una cosa es tener que clicar un link y que salte un XSS, y otra es clicar un link ver un mensaje de alerta y tener que darle al OK.

Pero de todas formas, si le mandas el "link de youtube" tambien le saldria :-X

Aunque como dice braulio supongo que en la inyeccion tambien puedes hacer que se ignore lo que sigue..



YXVuIGVyZXMgbWF0YWRvIHBhcmEgcG9uZXJ0ZSBhIGRlc2NpZnJhciBlc3RvIHhE

tragantras

Colaboraciones:
1 2

braulio--


tragantras

Cita de: braulio23 en  4 Noviembre 2009, 20:43 PM
Cita de: tragantras en  4 Noviembre 2009, 19:51 PM
fixed it!


está arreglado ya :/
Que va, todavía no está arreglada.

a ver braulio23, en la actualidad ( no se si cuando tu lo descubriste se podia ) está arreglado, cuando tu mismo pinchas si te va, pero si t lo envia alguien no va, y d ello estoy bastante seguro xD
Colaboraciones:
1 2

braulio--

#15
ahh, eso no se , vale. Lo voy a probar. :xD
Cierto, está arreglado.

peib0l

si tanto os gustan los bugs en tuenti... pues

mirar la web del amigo

http://seguridad.dimitrix.es

no es spam, lo pongo poruqe hay varios bugs XSS


Salu2

.;.

Yo lo he visto recientemente y sigue funcionando.

braulio--

Cuando lo mandas tu si, pero al otro se le manda modificado.

MonzterKuki.

#19
al otro no le sale el  codigo XSS que mandaste simplemente le sale el http://hola

y pablo lo vio seguramente echo por mi en el tuenti que acabo de ver esto y no sabia que estubiera descubierto ya  :xD



PD:Pablo tenias razón ya estaba encontrado el XSS
Es Mejor Ser querido que temido.