Mensajes

asi de facil se ejecuta ‭‬‭‬‭‬javascript en una imgaen :s seria muy facil robar cookies...

No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..

Y otra cosa, Yo no estoy ejecutando ‭‬javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo ‭‬javascript, osea el ‭‬javascript se esta ejecutando en el host que tengo el archivo con ‭‬javascript y no en la pagina que quiero atakar.

Y es verdad, no me fijé, el javascript no se ejecuta en el server.

asi de facil se ejecuta ‭‬‭‬‭‬javascript en una imgaen :s seria muy facil robar cookies...

No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..

Y otra cosa, Yo no estoy ejecutando ‭‬javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo ‭‬javascript, osea el ‭‬javascript se esta ejecutando en el host que tengo el archivo con ‭‬javascript y no en la pagina que quiero atakar.

Me parece que te equivocas, está bien, el javascript no se ejecuta, el php si.
Ahora, bbcode no es un lenguaje que el navegador interprete, el bbcode se transforma a html cuando se manda al foro.
= <img src=urldefoto> (pero con mas atributos)
La petición siempre es get si lo haces desde un src o similar.

Tu recomendarías poner una medida anti CSRF a un buscador? Aparte de las medidas XSS.
Tu lo haces?

Hola, desde el correo envias un enlace hacia una web tuya que puede estar en un hosting gratuito, luego haces el form con todos sus valores dentro de el y cuando esa persona lo visualize entonces se activaría una función en ‭‬‭‬‭‬javascript que va autoenviar el formulario con document.formulario.submit(); talves encerrado dentro del tag body y escrito dentro de onload y si se llega a ejecutar de esa forma significa que también es vulnerable a csrf.

Que un buscador sea vulnerable a CSRF es algo importante?
Si se comprobara un token sería muy difícil de  explotar el XSS no?

No sabía que estaba esto aquí, lo leeré.
Que nota sacaste ?

Ese servidor era sin límites?
A ver quien se atreve a poner aquí su número de móvil xD

Buena idea, yo hice un programa que mandaba sms a el teléfono que se eligiera por medio del servicio de google  del que no consigo  recordar el nombre, pero tenía la limitación de los 5 mensajes.

Ya he hecho el nuevo programa, es muy jodido si te lo hacen.

Estás seguro de que tiene contraseña ?
mysql -h localhost -u root

Claro que se puede hacer.
Creas un form con dos campos hidden, por medio del DOM rellenas el value con las variables esas y ejecutas el método submit() del form por lo que los datos pasarán al script que indicaste.

Gracias por intentarlo, pero si lees el post verás que no tiene nada que ver con lo que pregunto.