XSS en Facebook

Iniciado por c7b3r, 24 Diciembre 2009, 06:01 AM

0 Miembros y 2 Visitantes están viendo este tema.

c7b3r

Buenas!!!

creo que encontre un XSS usando facebook

cuando creo una fanpage, inserto un script como nombre de la misma:

yo le puse de nombre a mi fanpage asi: "<script>alert("Vulnerable");</script> "

http://img29.imageshack.us/si.php?img=eliminacion1.jpg

al momento de eliminar la fanpage antes de pedir la confirmacion, se ejecuta el script!!

http://img63.imageshack.us/si.php?img=eliminacion2.jpg

salu2!!!

~ Yoya ~

ps no entiendo mucho la explicacion, podias dar mas de talle, como la input vulnerable, porque creo que tambien es vulnerable a CSRF.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

tragantras

a mi lo que me parece curioso es el código de la web de imageshack...


hmmm document.write.... hmmmm

Citarhttp://img29.imageshack.us/img29/1103/eliminacion1.jpg\'?'+document.referrer+

además -> http://img29.imageshack.us/si.php

si cargais eso... otra surprise xD y.... "si.php" no es una página que de normal se de en imageshack, de hecho si la buscais en google la unica coincidencia es con la URI arriba citada


llamadme paranoico xD
Colaboraciones:
1 2

WHK

Cita de: tragantras en 25 Diciembre 2009, 16:40 PM
a mi lo que me parece curioso es el código de la web de imageshack...


hmmm document.write.... hmmmm

Citarhttp://img29.imageshack.us/img29/1103/eliminacion1.jpg\'?'+document.referrer+

además -> http://img29.imageshack.us/si.php

si cargais eso... otra surprise xD y.... "si.php" no es una página que de normal se de en imageshack, de hecho si la buscais en google la unica coincidencia es con la URI arriba citada


llamadme paranoico xD

Claro, a eso se le llama xSS
http://img29.imageshack.us/si.php?img=eliminacion1.jpg"><script>alert(document.cookie);</script>

Castg!

pero que es esa pagina? de donde la sacaste? sos el webmaster de imageshack :xD!

tragantras

ya ya jaja pero que me referia a que el xss estaba en imageshack tambien, no solo en facebook como decia #1

me refiero que nos kerian vender churros por meninas! xD
Colaboraciones:
1 2

WHK