Autor
buenas, taba navegando por fotolog asi me efeaban por reverse y vi esto:
http://account.fotolog.com/login?redirect=
me llamo la atencion y vi donde se guardava ese valor, era en un input del tipo hidden, asique puse:
http://account.fotolog.com/login?redirect=a%22%3E%3Cscript%3Ealert%281%29;%3C/script%3E
y vi que no sucedia nada, al ver el codigo fuente descubri que me borraba los caracteres "<" y ">", asique empece a intentar con "onevent" "onsubmit" "onload" con todo xD! pero no encontre nada, ahora sinceramente no me interesa fotolog, pero este tipo de vulknerabilidades tinee algun salteo? se entiende? osea hay forma de poner esos caracteres. este xss (porq es un xss nomas que me filtra ><) es tipo al que encontro fede_cp pero en el cambio de lenguaje...
|
 |
Bienvenido(a), Visitante. Por favor Ingresar o Registrarse ¿Perdiste tu email de activación?. |
|
28 Mayo 2012, 05:48 |
En línea
