Hola a todos,

  Ando finalizando mi proyecto fin de carrera en seguridad en Web 2.0 el cual incluye el desarrollo de un pequeño site del tipo red social. Ahora mismo tengo la beta publicada, y la idea es atacarlo y realizar una nueva version mejorando la seguridad.

  Sentios libres de experimentar con hackw20.tk y por favor, documentad vuestros ataques y posteadlos aqui o al email del administrador. Cualquier sugerencia de cualquier tipo es bienvenida (pero preferiblemente sobre aspectos de seguridad, ya se que la funcionalidad del sitio es muy pobre  )

Gracias de antemano. Nos vemos por aqui.

Bueno, supongo que puedes forzar la escritura de cualquier mensaje de error, pero eso no es ningun problema de seguridad, ¿no?. Tomo nota de la sugerencia de todos modos.

Gracias, un saludo.

Si me ilustras un poco te lo agradeceria, solo veo un pop-up que muestra las cookies, pero no se hasta que punto eso puede suponer un problema, puedes inspeccionar las cookies de muchas otras maneras. Mencionas XSS, pero no veo como puedes aplicarlo aqui. Perdon si son cosas evidentes para algunos, pero no soy ningun experto en seguridad.

De cualquier modo tambien me gustaria aprender a reventar mi propia aplicacion, mas que nada para aprender, asique si teneis por ahi documentacion util, os ruego que me remitais a ella. Buscare tambien por mi cuenta.

Gracias!

Si funcionara, intentaria hacer algo

"Object Not Found
The requested URL '/hackw20/application/user_management/login.php' was not found on the RomPager server.

Return to last page"

Si funcionara la página dario 

Es un router (P-660HW-D1) y si.. parece que es local  
Yo queria buscar vulns  


PD:fin de carrera en seguridad en Web 2.0
Me parece que tu carrera no te sirvio de mucho, ya que ni siquiera conoces los riesgos de XSS 

Piensa, el xss siempre se ha considerado una vulne de bajo nivel, pero que pasa sí en ves de mostrar tu cookie simplemente se roba? Además sí tienes xss seguro tienes csrf por algún lado ñ_ñ lo mejor en web es taparse el culo para todo y nunca mirar una vulne como insignificante.

tmb se puede atacar al usuario final , no siempre se debe pensar en las cookies o parecidos
+1