elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Cambiar idioma.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cambiar idioma.  (Leído 3,106 veces)
PHAMTOM

Desconectado Desconectado

Mensajes: 83

0x8B,0xEC,0x33,0xFF


Ver Perfil
Cambiar idioma.
« en: 13 Agosto 2010, 06:44 am »

Buenas,e escuchado o leido , que hay una vulnerabilidad que se explota, con el cambio de idiomas en los sitios webs que tienen para elegir difernetes idiomas.

A que se puede llegar ? , a que afecta ?.

Que vulnerabilidad es ?

Hay algo de documnetacion ??

muchas gracias de antemano.
En línea

Miran a cualquier ventana, mientras su pánico emana
y nubla su visión mi calma es pura precisión
cargo munición y miro tranquilo
ya ni respiro desde al ático os vigilo sigo al filo os tengo a tiro!

La kitchner quiere tanto a los pobres,que cada vez,tiene más
Erfiug

Desconectado Desconectado

Mensajes: 44



Ver Perfil
Re: Cambiar idioma.
« Respuesta #1 en: 13 Agosto 2010, 14:57 pm »

puede ser RFI, SQL inj, XSS depende de como sea el código vulnerable....

Esta pregunta es equivalente a: He oido que hay paginas con noticias vulnerables, que vulnerabildad es? (pues dependerá de cada caso...)
En línea

tragantras


Desconectado Desconectado

Mensajes: 465


Ver Perfil
Re: Cambiar idioma.
« Respuesta #2 en: 17 Agosto 2010, 10:00 am »

aisss gracias a eso, conseguí mi primera intrusion web! qué recuerdos ( todos recordamos nuestra primera, no?! jaja )

pues a ver... te explico como fue en mi caso:


La web estaba montada siguiendo de la siguiente manera ( o algo parecido! )


Código
  1.  
  2. <?
  3.  
  4. define("SALUDO_ESP", "Bienvenio colega");
  5. define("SALUDO_ENG", "Welcome mate");
  6.  
  7. $_SESSION["pageLanguage"]=$_GET["idLanguage"];
  8.  
  9. eval("echo SALUDO_".$_GET["idLanguage"].";");
  10. echo "done";
  11.  
  12. ?>
  13.  
  14.  


Como ves, el input no se sanea ni siquiera se compruba contra una whitelist ni nada.

La manera en que se exploita esto es sencilla:

Código
  1. pagina.com/cambiarIdioma.php?idLanguage=ESP; phpinfo()

como la cadena se interpreta dinamicamente pueds salir del echo y ejecutar cualquier codigo!


PD: si no me he explicado bien, postea y te lo explico mejor ( loo mio no es epxlicar xD )

En línea

Colaboraciones:
1 2
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cambiar el idioma de un juego?
Juegos y Consolas
Senior++ 1 2,668 Último mensaje 26 Marzo 2015, 04:46 am
por Br1ant
Cambiar idioma en QT
Programación C/C++
kur79 0 2,675 Último mensaje 17 Noviembre 2015, 21:44 pm
por kur79
PHP Cambiar idioma de fecha
PHP
tomasvreal28 2 3,592 Último mensaje 8 Diciembre 2015, 01:21 am
por tomasvreal28
Cambiar idioma de un toast
Programación General
rubcr 2 3,150 Último mensaje 22 Enero 2021, 17:35 pm
por rubcr
¿Cambiar el idioma del juego móvil?
Dispositivos Móviles (PDA's, Smartphones, Tablets)
JuanaPittman 0 1,630 Último mensaje 25 Julio 2022, 05:36 am
por JuanaPittman
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines