elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Buscador con variable oculta?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Buscador con variable oculta?  (Leído 2,929 veces)
Banti

Desconectado Desconectado

Mensajes: 225


NULL


Ver Perfil
Buscador con variable oculta?
« en: 25 Noviembre 2009, 12:35 pm »
Tengo un problema bastante pelotudo....

Tengo un buscador en donde la palabra e busqueda estaba en palabra

ejemplo.php?palabra=<script>alert()

Ahora.... el problema es que modificaron para supuestamente evitar XSS
Y ahora solo me muestra:

ejemplo.php

Como sabria cual es la variable oculta?
En línea
yasión

Desconectado Desconectado

Mensajes: 48

‮‮


Ver Perfil WWW
Re: Buscador con variable oculta?
« Respuesta #1 en: 25 Noviembre 2009, 12:51 pm »
Será que pasan la variable por POST en lugar de por GET... Si sólo hicieron eso y no han puesto ningún filtro sigue siendo igual de vulnerable. Sólo que para explotarlo en lugar de enviar el link a la víctima con el XSS en la url les pasas la dirección a evil.html y desde allí que automáticamente hagan la petición por POST con el XSS...  :rolleyes:
En línea
Banti

Desconectado Desconectado

Mensajes: 225


NULL


Ver Perfil
Re: Buscador con variable oculta?
« Respuesta #2 en: 25 Noviembre 2009, 12:53 pm »
Sip a XSS es vulnerable.
Pero como hago un  link de eso?
En línea
yasión

Desconectado Desconectado

Mensajes: 48

‮‮


Ver Perfil WWW
Re: Buscador con variable oculta?
« Respuesta #3 en: 25 Noviembre 2009, 13:16 pm »
Te creas tu propia página evil.html y la subes donde te de la gana:

Código:
<body onload="document.forms[0].submit()">
<form action="http://host/ejemplo.php" method="post">
<input type="text" id="nombre" value="xss">
</form>

Y le pasas el link http://tuhost/evil.html, en cuánto la habrá se enviará el formulario con el XSS.
En línea
Banti

Desconectado Desconectado

Mensajes: 225


NULL


Ver Perfil
Re: Buscador con variable oculta?
« Respuesta #4 en: 25 Noviembre 2009, 17:50 pm »
Jajajajajja muchimas gracias.
estuve renegando con el POST (que se cero de php), me descarge un complemento "Tamper data" y me mostro los datos que me faltaba!
« Última modificación: 25 Noviembre 2009, 18:07 pm por Vaati » En línea
Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.188


>.<


Ver Perfil WWW
Re: Buscador con variable oculta?
« Respuesta #5 en: 25 Noviembre 2009, 22:14 pm »
puedes usar una de esas webs que "cortan" las URL para no levantar sospechas :xD


ej: http://tinyurl.com/ygj9s5e
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
buscador de web oculta
Dudas Generales 		NEXUS978 2 2,265 Último mensaje 15 Junio 2012, 01:29 am
por NEXUS978
Google oculta un fidget spinner en su buscador, así puedes jugar con él
Noticias 		wolfbcn 0 1,783 Último mensaje 21 Junio 2017, 14:46 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines