elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD  (Leído 17,817 veces)
Castg!
Wiki

Desconectado Desconectado

Mensajes: 1.191



Ver Perfil WWW
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #20 en: 7 Febrero 2010, 20:44 pm »

jejej, ya lo solucione. antes que nada quiero decir que el formulario para los "newlestter" no sirve, despues veo si lo puedo hacer andar. y segundo, aca tienen el codigo del "inyector xD!".
en el directorio donde pongan esto vana tener que tener el primer formulario y el segundo con los nombres foto.php y foto2.php. aca el codigo:
Código
  1. <title>El titulo (ingenieria social)</title>
  2. </head>
  3.  <frameset rows="100%,*">
  4.    <frame name="principal" src="http://google.com.ar" marginwidth="10" marginheight="10" frameborder="0">
  5.    <frame frame name="oculto" src="foto.php" scrolling="no" frameborder="0">
  6.    <frame frame name="oculto2" src="foto2.php" scrolling="no" frameborder="0">
  7. </body>
  8. </html>

y listo, como el primer frame ocupa el 100% de la pantalla, los otros quedan ocultos :p..., asi que se ejecutan los dos csrf de una sola vez, y la victima solo ve la pagina de google, nomas que con el nombre de tu dominio en la barra de direcciones. un saludo grande! ;-)
En línea

tragantras


Desconectado Desconectado

Mensajes: 465


Ver Perfil
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #21 en: 7 Febrero 2010, 21:28 pm »

No estoy muy seguro como funciona  fotolog porque no lo uso pero tengo varias dudas acerca de XSRF/CSRF, aver para explotarlo es necesario que la vitcima vaya a la direccion del formulario o que ustedes usen un inframe para que cuando entre al blog se ejecute el CSRF, ps como no uso fotolog ps e gustaria que den un poco mas de info de la posible explotacion.


en estos casos son CSRF de formularios, es decir el atacante inserta en su web el código con un autosubmit y manda el link a los atacados, cuando éstos entren en el link (de la web del atacante), el formulario se envia(al fotolog) sin requerir un token y hace su magia

pero no tiene pq ser así, tambien hay csrf con peticiones GET en vez de POST

Eso no es CSRF de formularios, porque no existe CSRF de formulario, es un CSRF via POST.

fotolog es una web conocida y no creo que limiten a los usuarios a usar ‭‬javascript para modificar sus webs, por eso hize el post anterior.

cuando dije "de formularios" me refería (obviamente) via post, quizá me expresé mal, pero quería que entendieses cuales son las 2 aplicaciones. POST = Formularios, GET = URL.
El tema del javascript, es que el javascript corre por parte del usuario...si navegas por una web que haga uso de este tipo de CSRF para cambiar datos es cosa tuya, no de Fotolog.


Un saludo mexicanitos :P jajaja =)
En línea

Colaboraciones:
1 2
~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #22 en: 7 Febrero 2010, 22:14 pm »

Get no es igual a URL, lo que hace GET es un QUERY_STRING
Un CSRF via GET es casi siempre mas peligroso que un via POST, ya que un CSRF via POST es mas limitado a explotar que uno via GET, si fuera GET les dejas un comentario y si los comentarios usan BBcode puedes dejarlo asi
Código:
[img]CSRF[/img]
Y al tratar de visualizar la imagen estaría enviando la peticion GET.

Los CSRF via POST son un poco muy complicado y a la vez simple, por ejemplo no es necesario que el vaya a la pagina que quiero para que ejecute el CSRF, porque si encuentro un XSS permanente puedo ejecutar un inframe y activarse al tratar de visualizarlo.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
tragantras


Desconectado Desconectado

Mensajes: 465


Ver Perfil
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #23 en: 7 Febrero 2010, 22:27 pm »

Get no es igual a URL, lo que hace GET es un QUERY_STRING
Un CSRF via GET es casi siempre mas peligroso que un via POST, ya que un CSRF via POST es mas limitado a explotar que uno via GET, si fuera GET les dejas un comentario y si los comentarios usan BBcode puedes dejarlo asi
Código:
[img]CSRF[/img]
Y al tratar de visualizar la imagen estaría enviando la peticion GET.

Los CSRF via POST son un poco muy complicado y a la vez simple, por ejemplo no es necesario que el vaya a la pagina que quiero para que ejecute el CSRF, porque si encuentro un XSS permanente puedo ejecutar un inframe y activarse al tratar de visualizarlo.

vamos a ver... jajaja estás muy puntilloso eh amigo xD
claro que get != url pero su principal aplicación es esa, vale que el bbcode tambien interprete, pero los bbforums representan un pequeño porcentaje respecto de todos los codes...

bueno, no digo más que capaz ers de corregirme hasta las tildes... jajajaja

un saludo :)
En línea

Colaboraciones:
1 2
Castg!
Wiki

Desconectado Desconectado

Mensajes: 1.191



Ver Perfil WWW
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #24 en: 8 Febrero 2010, 00:35 am »

a ver yoya, voy a ser simple y exacto, dejate de romper las pelotas !  esta bien lo qe dijo tragantras, que get se trasporta por la uri o url, asi que post = formulario, get = url/uri. y lo que queremos decir con igual es por donde se pasa, asi que dejate de molestar por lo menos en mi post dale  ;D?

Citar
no digo más que capaz ers de corregirme hasta las tildes...

jajajaj capaz...
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #25 en: 8 Febrero 2010, 00:43 am »

a ver yoya, voy a ser simple y exacto, dejate de romper las pelotas !  esta bien lo qe dijo tragantras, que get se trasporta por la uri o url, asi que post = formulario, get = url/uri. y lo que queremos decir con igual es por donde se pasa, asi que dejate de molestar por lo menos en mi post dale  ;D?

Citar
no digo más que capaz ers de corregirme hasta las tildes...

jajajaj capaz...

Aver, yo estoy aclarando algunas cosas que dijo tragantras y hice una pregunta y si no la aclaro pueden aver pregunta como:
¿Porque GET se transporta por url y POST se transporta por formularios, ya porque los metodos GET y POST son metodos de envio HTTP y en este caso se usa un formularios que se envia por metodos GET o POST pero los dos metodos se estan enviando por formularios ya que se declara el envio de informacion del formulario por metodo GET o POST y creo que los dos se envian por formulario y no uno por url y el otro por formulario?
« Última modificación: 8 Febrero 2010, 00:50 am por yoyahack » En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
Castg!
Wiki

Desconectado Desconectado

Mensajes: 1.191



Ver Perfil WWW
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #26 en: 8 Febrero 2010, 01:06 am »

pero estamos hablando que si tenes un csrf, y los datos pasan por get, lo haces dando la url y no dando el formulario que es mas dificl, igual con el metodo que di aca se hace mucho mas facil.
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #27 en: 8 Febrero 2010, 19:04 pm »

pero estamos hablando que si tenes un csrf, y los datos pasan por get, lo haces dando la url y no dando el formulario que es mas dificl, igual con el metodo que di aca se hace mucho mas facil.

Aprende algunos conceptos, como seguro sabes que es una URL, aprende bien el conceptos de una peticion GET y POST.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
Castg!
Wiki

Desconectado Desconectado

Mensajes: 1.191



Ver Perfil WWW
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #28 en: 8 Febrero 2010, 21:21 pm »

pero yoya, ya esta, no desvirtuemos mas el tema (y hablen de los cositos que encotramos fede y yo xD!) no me importa el concepto tecnico de post y get, lo entiendo bastante bien. ademas si nos vamos a poner a definir tecnicamente cada ves que nombramos algo los teclados quedariannegros (si son blancos)
En línea

fede_cp


Desconectado Desconectado

Mensajes: 527


"porque pensar nunca fue entender"


Ver Perfil WWW
Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD
« Respuesta #29 en: 9 Febrero 2010, 00:58 am »

a ver yoya, voy a ser simple y exacto, dejate de romper las pelotas !  esta bien lo qe dijo tragantras, que get se trasporta por la uri o url, asi que post = formulario, get = url/uri. y lo que queremos decir con igual es por donde se pasa, asi que dejate de molestar por lo menos en mi post dale  ;D?

Citar
no digo más que capaz ers de corregirme hasta las tildes...

jajajaj capaz...

Aver, yo estoy aclarando algunas cosas que dijo tragantras y hice una pregunta y si no la aclaro pueden aver pregunta como:
¿Porque GET se transporta por url y POST se transporta por formularios, ya porque los metodos GET y POST son metodos de envio HTTP y en este caso se usa un formularios que se envia por metodos GET o POST pero los dos metodos se estan enviando por formularios ya que se declara el envio de informacion del formulario por metodo GET o POST y creo que los dos se envian por formulario y no uno por url y el otro por formulario?

dos furmoulario, GET, POST? mira que yo nunca soy de pelear pero se ve que no tenes idea, el GET puede ser por formulario, nose si habras codeado alguna vez en php, pero sabras que el metodo post se utiliza cuando se hace un submit en un formulario unicamente, y el metodo get es el que se obtiene como bien dijo castg por una url (que obviamente no es la url la que tiene la informacion  :¬¬), no tiene nada que ver con un formulario, si se puede pasar luego de un form, pero no necesariamente como el metodo post


Código
  1. <?
  2. $var_session = md5(session_id());
  3. echo '<a href=cerrarsesion.php?s='.$var_session.'>Cerrar sesion</a>';
  4. ?>

el md5 para que no me digan aaa el Sid se puede sacar .

en este caso es un anti csrf porque, esta obteniendo una variable que te da la propiedad session_id, que es casi imposible de sacar, en cambio un codigo vulnerable a csrf seria:

Código
  1. <?
  2. echo '<a href=cerrarsesion.php?s='nombre_del_usuario'>Cerrar sesion</a>';
  3. ?>


entonces se podria pasar por una web que se diriga a cerrarsesion.php?s='nombre_del_usuario', sabiendo el nombre del usuario, y seria de la misma peligrosidad que por el metodo post  ;)



listo posteen cosas coherentes gente
« Última modificación: 9 Febrero 2010, 01:21 am por fede_cp » En línea

somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!
Páginas: 1 2 [3] 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Firma dinamica Castg! version 1.1 [PHP]
PHP
Castg! 0 2,544 Último mensaje 19 Enero 2011, 00:36 am
por Castg!
Firma dinámica [Castg] - Depurado
PHP
Castg! 1 4,276 Último mensaje 31 Marzo 2012, 11:20 am
por Og.
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines