Tema destacado: Sigue las noticias más importantes de elhacker.net en  twitter!
 Autor
|
Tema: Hack-web_XSS (Leído 6,906 veces)
|
orphen_nb
 Desconectado
Mensajes: 133
|
No logro pasar la prueba y "se me han acabado" las ideas. he metido un .png con XSS, he codificado los caracteres, he probado modificando el input "prot" y no veo por dónde atacarle ya que el primer campo codifica los caracteres < y > a < y >, también & y # por lo que la codificación a html entities tampoco me funciona, los otros campos al parecer hacen un escape de los caracteres especiales que metes, por lo que tampoco me funcionan <>/() etc ni ninguna codificación. Ya no sé por dónde meterle mano, alguna pista?  . Me queda mucho que aprender en vulnerabilidades web pero me interesa bastante.
|
|
|
|
|
En línea
|
Human knowledge belongs to the world
|
|
|
AlbertoBSD
Estudiante y
Colaborador
Desconectado
Mensajes: 1.955
Anonymous & Paranoid
|
Muchas veces cuando estas en una situacion real, siempre tienes que saltarte los formularios proporcioandos por la web  . Me refiero puedes meter datos desde otros Lugares, Suerte Saludos.
|
|
|
|
|
En línea
|
|
|
|
orphen_nb
Desconectado
Mensajes: 133
|
Sip, para modificar el campo prot he usado el achilles, pero tampoco me ha funcionando :S.
Gracias por la pista, pero sigo sin saber por dónde meter mano porque el achilles ya lo he usao xD. No sé si te referías a eso...
|
|
|
|
|
En línea
|
Human knowledge belongs to the world
|
|
|
AlbertoBSD
Estudiante y
Colaborador
Desconectado
Mensajes: 1.955
Anonymous & Paranoid
|
Si mas o menos a eso, cualquie editor de cabeceras o cualquiera que te mermita editar los metodos GET y POST antes de enviarlos estabien.
Hasta con nc puedes pasar la prueba.
Saludos.
|
|
|
|
|
En línea
|
|
|
|
orphen_nb
Desconectado
Mensajes: 133
|
Gracias ya lo he pasado!  . Aunque no entiendo muy bien su funcionamiento pero te pregunto por pm mejor si no te importa xD. |
|
|
|
|
En línea
|
Human knowledge belongs to the world
|
|
|
matux
Desconectado
Mensajes: 6
|
He estado tratando de modificar el encabezado para pasar está prueba utilizando los addons Live Http headers de firefox, pero todavía no puedo.
El problema es que veo las variables pero no los veo relacionadas a ningún elemento del encabezado, tienen algún link donde pueda econtrar información sobre modificar variables de eventos post en los encabezados, he buscado en google y no en encontrado.
|
|
|
|
|
En línea
|
|
|
|
WHK
吴阿卡
Ex-Staff
Desconectado
Mensajes: 4.113
The Hacktivism is not a crime
|
No necesitas modificar nada, solo pon tu xss y listo pero si quieres buscar eso que dices busca el modify headers o el tamper data.
|
|
|
|
|
En línea
|
|
|
|
Nakp
casi es
Ex-Staff
Desconectado
Mensajes: 6.334
he vuelto :)
|
por cierto... el xss pasa por 2 formas, busque una 3ra pero creo que no existe y azielito se adelanto al encontrar la 2da, aunque no se cual es la que encontró y cual era la que funcionaba xD
salu2
|
|
|
|
|
En línea
|
Ojo por ojo, y el mundo acabará ciego.
|
|
|
WHK
吴阿卡
Ex-Staff
Desconectado
Mensajes: 4.113
The Hacktivism is not a crime
|
Ahora que me doy cuenta bién no existe ningún reto llamado hack web xss, estuve mirando y solo está la de cross, site, foro y creo que esas tres son las únicas pruebas de xss pero no hay ninguna llamada así.
|
|
|
|
|
En línea
|
|
|
|
Nakp
casi es
Ex-Staff
Desconectado
Mensajes: 6.334
he vuelto :)
|
se refiere a cross creo.. por lo de la imagen xD fijate en el combo  |
|
|
|
|
En línea
|
Ojo por ojo, y el mundo acabará ciego.
|
|
|
|
|
Nakp
casi es
Ex-Staff
Desconectado
Mensajes: 6.334
he vuelto :)
|
seguro? |
|
|
|
|
En línea
|
Ojo por ojo, y el mundo acabará ciego.
|
|
|
WHK
吴阿卡
Ex-Staff
Desconectado
Mensajes: 4.113
The Hacktivism is not a crime
|
knap te van a cortar esa lengua  |
|
|
|
|
En línea
|
|
|
|
braulio--
Wiki
Desconectado
Mensajes: 889
Imagen recursiva
|
Siento revivir el tema, pero se me han acabado las ideas.
He llegado hasta a escribir <script>alert... en todas las cabeceras.
Lo he intentado por las cuatro variables que se pasan por POST y en la primera creo que tiene htmlentities igual que en la cuarta.
En la segunda no me deja poner otra cosa que no sean las que vienes en el combobox y en la tercera he probrado diferentes maneras de poner "<" o ">" y me da un link invalido.
¿Alguien me puede dar una pista mas?
|
|
|
|
|
En línea
|
|
|
|
jdc
Desconectado
Mensajes: 3.253
janito dos cuatro...
|
Preguntate a ti mismo cual podría ser la pista de echo verás que la pista misma como tal está en la pregunta sobre la pista por la cual preguntas... Me pregunto sí será buena la pista o tal vez la respuesta enrede más que la misma pregunta |
|
|
|
|
En línea
|
|
|
|
|
 |
