Páginas: 1 2 [3] 4 
|
 |
|
 Autor
|
Tema: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD (Leído 2030 veces)
|
Castg!
 Conectado
Mensajes: 892
Sobrevivo a la Globalización!
|
osea, un formulario por get lo que hace es mandar los datos por la url o uri, pero todo lo demas esta perfecto...
|
|
|
|
|
En línea
|
|
|
|
~ Yoya ~
 Desconectado
Mensajes: 278
|
Yo codeo en perl y php... Los metodos GET, POST son metodos de peticion HTTP...
Para explotar CSRF inporta mucho el metodo GET o POST, ejemplo.
Si tienes una web vulnerable a CSRF via POST. El usuari de esa web esta limitado a usar BBCODES y las url pasan por referer y verifican si la url no es de la web la ps la deniega en cambio si es de la misma web la acepta.
Por eso digo que para explotar un CSRF metodo POST es mas limitado.
|
|
|
|
« Última modificación: 09 Febrero 2010, 18:01 por yoyahack »
|
En línea
|
|
|
|
Castg!
Conectado
Mensajes: 892
Sobrevivo a la Globalización!
|
yo como pastas y carnes, mi pileta es azul XD.
sinceramente que lindo lo que nos esformsamos con fede para hacer este post y que venga un tipo a desvirtuarlo por 2 paginas ni da. prq mejor se dejan de molestar, se las arreglan por mail, y comentan sobre NUESTRO post y nuestro tema, ya quede esto no tratamos de hablar de que es una puta peticion http.
|
|
|
|
|
En línea
|
|
|
|
fede_cp
Desconectado
Mensajes: 463
"porque pensar nunca fue entender"
|
osea yoyahack, puede que sea mas limitado, pero en este caso no se da asique poasteaste al pedo que era menos peligroso que esto que lo otro.
saludoss
|
|
|
|
|
En línea
|
|
|
|
~ Yoya ~
Desconectado
Mensajes: 278
|
puta peticion http.
Yo no vengo a molestar a este foro, a mi solo me gusta colaborar y aveces aprendo cosas de los demas, pero Castg debes aprender a comportarte mejor. Otra cosa, una cosa es molestar y otra debatir un tema, pero bueno no salte con las peticiones HTTP porque se me ocurrió, solo porque tienen que ver con el tema, pero debes aceptar las buenas y las bajas. Claro claro son buenos bug Castg, Felicidades ps. |
|
|
|
|
En línea
|
|
|
|
|
|
tragantras
Desconectado
Mensajes: 158
|
sin ánimo ninguno de seguir desvirtuando este post, solo quería remarcar que el bypassing de el referer es cuestión trivial, es decir que la complicación de un csrf por post, quizá tan solo sea cuestion de ingeniera social, más que de problemas técnicos
un saludo y de nuevo felicidades por el descubrimiento =)
|
|
|
|
|
En línea
|
|
|
|
Castg!
Conectado
Mensajes: 892
Sobrevivo a la Globalización!
|
jejej muchas gracias. me gusto mucho la forma de usar el frame ya que puedes crear un dominio y poner un frame a google(visible) y otros a csrf(invisibles)  un saludo grande |
|
|
|
|
En línea
|
|
|
|
|
WHK
|
Lo agregué al post de recopilaciones, saludos  |
|
|
|
|
En línea
|
|
|
|
|
|
fede_cp
Desconectado
Mensajes: 463
"porque pensar nunca fue entender"
|
Muchas gracias  saludos |
|
|
|
|
En línea
|
|
|
|
janito24
Conectado
Mensajes: 2.219
1009 años entre este mundo y el otro
|
En register tambien hay XDD digo XSS  http://tinyurl.com/ykca4pt:S si esta lleno xD |
|
|
|
« Última modificación: 15 Febrero 2010, 20:25 por »
|
En línea
|
|
|
|
Castg!
Conectado
Mensajes: 892
Sobrevivo a la Globalización!
|
conf ede le pedimos a fotolog a ver si nos podian poner nuestros nombres por uyn dia en la portada xD! me dijeron que no iba a ser posible lo que queriamos, pero les gusto mucho tener usauraios como nosotros "sigan disfrutando de fotolog" fue la utlima frase XD! el usuairo que me hice fue para hacer las pruebas xD! http://fotolog.com/castg y la unica foto q tiene es de elhacker.net xD! |
|
|
|
|
En línea
|
|
|
|
janito24
Conectado
Mensajes: 2.219
1009 años entre este mundo y el otro
|
ahora falta facebook xD aunque lo veo dificil :S
|
|
|
|
|
En línea
|
|
|
|
Castg!
Conectado
Mensajes: 892
Sobrevivo a la Globalización!
|
facebook debe tener alguno que otro xss. pero yo que se, por ejemplo tenes sqli en algunas apss, pero podes acceder solo a las tablas de ese ususrio de mysql o mssql. ademas, no slo se usar todavia, asi que nose xD! una vez que tenga ganas de abrirlo y aprender a usarlo podriamops ver algo xD! jajajaj, pero yo no lo quisiera ver.por ejemplo blogspot, ese si estaria bueno, pero es de google, asi que tambien lo veo dificil
|
|
|
|
|
En línea
|
|
|
|
|
Páginas: 1 2 [3] 4 
|
|
|
 |
