[°] XSS en Página conocida

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

25 Mayo 2012, 09:40

Tema destacado: Sigue las noticias más importantes de elhacker.net en twitter!

Foro de elhacker.net

Seguridad Informática

Bugs y Exploits (Moderador: berz3k)

[°] XSS en Página conocida

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: [°] XSS en Página conocida (Leído 2,031 veces)

Rey11

Desconectado

Mensajes: 3.244

[°] XSS en Página conocida

« en: 1 Enero 2006, 18:32 »

En una web bastante "conocida" para quienes programamos, en sus foros:
He encontrado en el campo del email un fallo que me ha permitido lanzar una caja de mensaje con alert("mensaje");, pero no he podido introducir nada mas, me gustaria saber si esto podria ser peligroso.
El campo del email es de 50 caracteres y
ya he dejado un mensaje diciendo lo que pasa.
Saludos ::)


« Última modificación: 2 Enero 2006, 22:59 por Sirdarckcat »	En línea

http://www.smforos.net

Ertai

Ex-Staff

Desconectado

Mensajes: 2.026

Ralph Wiggum

Re: Web vulnerable

« Respuesta #1 en: 1 Enero 2006, 18:53 »

XSS

Si la web no usa cookies de autentificación, de poco te servirá.


	En línea

Si la felicidad se comprara, entonces el dinero sería noble.

Código:

void rotar_by_ref(int& a, int& b) {
/* Quien dijo que no se podia sin una variable temporal? */
*a = *a ^ *b;
*b = *a ^ *b;
*a = *a ^ *b;
}

Rey11

Desconectado

Mensajes: 3.244

Re: Web vulnerable

« Respuesta #2 en: 1 Enero 2006, 19:01 »

Usa una cookie, pero es para mostrar al usuario en que mensajes ha publicado y en cuales no. Es uno visitante que en los mensajes que publica como visitante puede ver en cuales ha publicado desde ese pc.
Saludos ::)


	En línea

http://www.smforos.net

Ertai

Ex-Staff

Desconectado

Mensajes: 2.026

Ralph Wiggum

Re: Web vulnerable

« Respuesta #3 en: 1 Enero 2006, 19:36 »

Tu sabras si esa info te sirve para algo o no.


	En línea

Si la felicidad se comprara, entonces el dinero sería noble.

Código:

void rotar_by_ref(int& a, int& b) {
/* Quien dijo que no se podia sin una variable temporal? */
*a = *a ^ *b;
*b = *a ^ *b;
*a = *a ^ *b;
}

Rey11

Desconectado

Mensajes: 3.244

Re: Web vulnerable

« Respuesta #4 en: 1 Enero 2006, 21:00 »

Pues no :'(
Saludos ::)


	En línea

http://www.smforos.net

oRTNZ

Desconectado

Mensajes: 808

no no soy malo... soy vicioso :p

Re: Web vulnerable

« Respuesta #5 en: 1 Enero 2006, 22:42 »

creo, que no te deberia sentir mal, Rey11 , por ver ese error, yo lo veo casi a diario, en diferente web, estoy viendo uno repetitivo hace mas de 2 años,sobre todo en un modulo explusivo y a demas por demas obligatorio en los php

,una idea sobre todo en universidades de todos los paises,saludos :-X


	En línea

(31 del 12 de 2005) un dia que recuerdo siempre! :p
(03 del 08 de 2006) otro dia que lo recordare siempre...
Si eres Peruano, QUEDATE y si quieres ser de segunda mano del pais que fueras, pues LARGATE Y NO REGRESES...

sirdarckcat

Troll Buena Onda y
CoAdmin

Desconectado

Mensajes: 6.947

Lavando Platos

Re: Web vulnerable

« Respuesta #6 en: 2 Enero 2006, 22:58 »

mm de que es la página?
es un foro?
si solo usa cookie para ver los mensajes leidos, como verifican quien lo escribio?
Lee el texto de XSS que hay en Cursos y Documentación

Saludos!!


	En línea

Leer reglas

- WarZone.elhacker.net
- IRC de elhacker.net
- twitter de elhacker.net
- wiki de elhacker.net

dxr

Colaborador

Desconectado

Mensajes: 2.991

Re: [°] XSS en Página conocida

« Respuesta #7 en: 3 Enero 2006, 00:33 »

no postees la web... si kieres disela a gente concreta en publico

como ami XD


	En línea

Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.

Rey11

Desconectado

Mensajes: 3.244

Re: [°] XSS en Página conocida

« Respuesta #8 en: 3 Enero 2006, 14:18 »

Cita de: Sirdarckcat en 2 Enero 2006, 22:58

mm de que es la página?
es un foro?
si solo usa cookie para ver los mensajes leidos, como verifican quien lo escribio?
Lee el texto de XSS que hay en Cursos y Documentación

Saludos!!

Si quieres te la digo en privado la pagina pero lo máximo que he conseguido es sacar una caja de mensaje con hola.
Si, es un foro (aunque sin sistema de usuarios)
Es como un libro de visitas en grande donde quien quiera puede escribir y no se verifica quien lo ha escrito. Solo te dan una cookie para que tu veas que has publicado en este tema.
La cookie tiene este contenido:

Citar

2006-01-03+13%3A43%3A16

Saludos


	En línea

http://www.smforos.net

Colymore

Desconectado

Mensajes: 420

uid=0(root) gid=0(root) grupos=0(root)

Re: [°] XSS en Página conocida

« Respuesta #9 en: 3 Enero 2006, 15:10 »

creo que las restrinciones de caracteres se pueden satar con la extension web developer del firefox..pero no estoy totalemente seguro
Saludos


	En línea

sirdarckcat

Troll Buena Onda y
CoAdmin

Desconectado

Mensajes: 6.947

Lavando Platos

Re: [°] XSS en Página conocida

« Respuesta #10 en: 4 Enero 2006, 09:31 »

Colymore tienes razon, de hecho se pueden saltar con el javascript Online Debugger, pero si la base de datos tiene un tope de longitud, no te servira de nada

lo que podrias hacer, es por ejemplo:

Si el formato es el siguiente

Citar

[Titulo del menaje]
-------------------------
Contenido del mensaje
Contenido del mensaje
Contenido del mensaje

puedes poner en el titulo

Código:

<script>/*

y en el cuerpo:

Código:

*/
alert("Hola Mundo :)");
/*

y en otro mensaje abajo:

Código:

*/</script>

El XSS tiene muchas posibilidades, aunque talvez en este caso no, con un poco de trabajo.. podrias si tiene un foro esa pagina, hacer destrosos.. (es un decir), asi que advierte a los admin. de esa vuln, antes de que otro la descubra

Saludos!!


	En línea

Leer reglas

- WarZone.elhacker.net
- IRC de elhacker.net
- twitter de elhacker.net
- wiki de elhacker.net

Rey11

Desconectado

Mensajes: 3.244

Re: [°] XSS en Página conocida

« Respuesta #11 en: 4 Enero 2006, 11:51 »

Es que... todos los campos estan filtrados menos los del email :'(
Lo que puedo hacer tambien es una ataque flood con el while y que cuando abra la web esten saliendo todo el rato mensajes

Pues no me ha hecho ni caso, incluso lo postee en el foro de alli y a nadie le intereso...
Saludos ::)


« Última modificación: 4 Enero 2006, 12:49 por Rey11 »	En línea

http://www.smforos.net

sirdarckcat

Troll Buena Onda y
CoAdmin

Desconectado

Mensajes: 6.947

Lavando Platos

Re: [°] XSS en Página conocida

« Respuesta #12 en: 4 Enero 2006, 17:34 »

Rey, no entendiste.
aunque este filtrado el mensaje, si haces lo que te digo, si debe acceder, si ves no pongo ningun tag en el contenido del mensaje, sino solo en el titulo

Saludos!!


	En línea

Leer reglas

- WarZone.elhacker.net
- IRC de elhacker.net
- twitter de elhacker.net
- wiki de elhacker.net

Páginas: [1]

Ir a:

elotrolado	lawebdegoku	MundoDivx	Hispabyte	Truzone
ZonaPhotoshop	Yashira.org	Videojuegos	indetectables.net	Seguridad Colombia
Indejuegos	Seguridad Informática	Juegos de Mario	Internet móvil	Noticias Informatica
ADSL	eNYe Sec	Seguridad Wireless	Underground México	Biblioteca de Seguridad
InSecurity.Ro - ISR	Soluciones Web	ejemplos de	El Lado del Mal	Blog Administrador Sistemas
Blog Uxio	thehackerway	Tienda Wifi

Todas las webs afiliadas están libres de publicidad engañosa.