elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [?] Duda en XSS
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [?] Duda en XSS  (Leído 3,616 veces)
iiitttaaa

Desconectado Desconectado

Mensajes: 11


Ver Perfil
[?] Duda en XSS
« en: 27 Junio 2011, 23:07 pm »

miren en una página se envian mensajes y en el título del mensaje es vulnerable a XSS si envio un mensaje con el titulo
"><SCRIPT>alert(/'hola'/)</SCRIPT>
a el le aparece un letrero con /&acute;hola&acute;/
pero en si aparece
quiero saber como poder entrar a la cuenta de otro con este error
las cookies no se si funcione pero si creen que si como robo las cookies ayuda
En línea

madpitbull_99
Colaborador
***
Desconectado Desconectado

Mensajes: 1.911



Ver Perfil WWW
Re: [?] Duda en XSS
« Respuesta #1 en: 27 Junio 2011, 23:23 pm »

No puedes! La variable está siendo filtrada con htmlspecialchars() o htmlentities() por eso solo te sale el mensaje y el alert() no se ejecuta.

Citar
quiero saber como poder entrar a la cuenta de otro con este error

En este foro nadie te ayudará a llevar a cabo acciones ilegales.
En línea



«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red
xustyx

Desconectado Desconectado

Mensajes: 213


Ver Perfil
Re: [?] Duda en XSS
« Respuesta #2 en: 28 Junio 2011, 02:10 am »

Por lo que veo te cambia las ( ' ) por &acute; prueba sin poner las ( ' )
así:

"><SCRIPT>alert(/hola/)</SCRIPT>

Lo demas tendras que mirar en el Codigo fuente de la pagina que se genera y mirar si no te cambia tambien el < y > o que por ejemplo no aparezca script o cosas asi que los filtros quitan.

Un saludo.
En línea

Cleantesdeasso

Desconectado Desconectado

Mensajes: 185



Ver Perfil
Re: [?] Duda en XSS
« Respuesta #3 en: 28 Junio 2011, 20:47 pm »

Hola. Has probado con onerror StringFromCharCode?
En línea

"Que no!! q el hash hay q crakiarlo!!"
~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: [?] Duda en XSS
« Respuesta #4 en: 29 Junio 2011, 00:35 am »

Bypass de magic_quotes_gpc() para explotar XSS via POST
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [?] Duda en XSS
« Respuesta #5 en: 6 Julio 2011, 04:56 am »

te está filtrando lo que colocaste tal como dicen se cambia &acute por ' por lo que esto queda tan solo como texto y no como código debes hacer bypass xss busca en internet, hay mucha info sobre esto

Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Pequeña duda con un comando batch (NUEVA DUDA RELACIONADA)
Scripting
revenge1252 9 9,706 Último mensaje 13 Febrero 2008, 21:41 pm
por revenge1252
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines