elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  XSS en la web de la SGAE		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: XSS en la web de la SGAE  (Leído 4,734 veces)
caosdoar

Desconectado Desconectado

Mensajes: 2


Ver Perfil
XSS en la web de la SGAE
« en: 2 Febrero 2008, 00:56 am »
El tema es viejo, lo comenté en su momento en meneame.net e incluso se usó para realizar un google bombing para poner a la sgae en el primer puesto con la palabra "ladrones". Pero aun así siguen teniendo el mismo problema.

Un ejemplo *muy sencillo* de lo que se puede hacer...
http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Ciframe%20src=%22http://www.elhacker.net%22%20width=%22460%22%20height=%22300%22%3ELadrones%3C/iframe%3E
En línea
marlon_agz


Desconectado Desconectado

Mensajes: 987


Encontre el origen de los Emos xD


Ver Perfil WWW
Re: XSS en la web de la SGAE
« Respuesta #1 en: 2 Febrero 2008, 01:02 am »
jua  que buena  con iframe :xD

salu2
En línea
-sagitari-


Desconectado Desconectado

Mensajes: 1.643


:D


Ver Perfil WWW
Re: XSS en la web de la SGAE
« Respuesta #2 en: 2 Febrero 2008, 01:04 am »
El mismo bug lo tienen muchas otras webs importantes y conocidas, por ejemplo la web de la real academia española (RAE).. XSS hay por muchhhhhhhísimas webs!

http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=<h1><font color=red>SOIS UNOS LADRONES

etc.

salu2
no hay que darle mayor importancia,
En línea
caosdoar

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: XSS en la web de la SGAE
« Respuesta #3 en: 2 Febrero 2008, 01:08 am »
Yo creo que tiene su cierta importancia.

Supongamos que creamos un formulario de login falso a través de ese error de XSS. Cuelgo la URL para acceder a ella en una web y le doy tiempo a google para que la indexe, si alguien entrase a través de google a esa dirección podría revelar sus datos a otra persona.

Y todo el código estaría en google/sgae.
En línea
marlon_agz


Desconectado Desconectado

Mensajes: 987


Encontre el origen de los Emos xD


Ver Perfil WWW
Re: XSS en la web de la SGAE
« Respuesta #4 en: 2 Febrero 2008, 01:10 am »
apoco no es divertido ???   :xD

bueno me resulta comico ver  cosas como esas jejeje

salu2


Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

ya sabia que alguien le encontraria algun beneficio :xD


salu2 yo solo lo veo divertido xD
En línea
Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.188


>.<


Ver Perfil WWW
Re: XSS en la web de la SGAE
« Respuesta #5 en: 6 Febrero 2008, 18:32 pm »
mas info:
http://en.wikipedia.org/wiki/Cross-site_request_forgery
En línea
anikillador

Desconectado Desconectado

Mensajes: 57


Ver Perfil
Re: XSS en la web de la SGAE
« Respuesta #6 en: 12 Febrero 2008, 14:30 pm »
http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Ciframe%20src=%22http://www.zonalibre.org/blog/Carpanta/archives/imagenes/no-sgae.gif%22%20width=%22460%22%20height=%22300%22%3ELadrones%3C/iframe%3E

jeejjejejjejeje
En línea
AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.696


🏴 Libertad!!!!!


Ver Perfil WWW
Re: XSS en la web de la SGAE
« Respuesta #7 en: 12 Febrero 2008, 15:00 pm »
Podrian dejar de poner el mismo link modificado  :huh: Ya enfadaron con tanto Xss, abundan en la web, si va a hacer algo haganlo y no le digan a nadie.

Not Trust Anybody
En línea
Keyhunters telegram group (English)
pana88

Desconectado Desconectado

Mensajes: 76


Fhacking


Ver Perfil WWW
Re: XSS en la web de la SGAE
« Respuesta #8 en: 4 Marzo 2008, 06:48 am »
el mio jejej por joder ...

http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Ciframe+name%3D%22prueba%22+src%3D%22http%3A%2F%2Fwww.lapachorra.com.ar%22++width%3D%221024%22+height%3D%22768%22+%3E
una pregunta ... que ventajas puedo obtener para mi ?
por que hasta ahora solo vi cosas nomas nunca una web hackeada con eso
« Última modificación: 4 Marzo 2008, 06:56 am por pana88 » En línea
Snap90210

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: XSS en la web de la SGAE
« Respuesta #9 en: 4 Marzo 2008, 14:40 pm »
Cita de: pana88 en  4 Marzo 2008, 06:48 am
el mio jejej por joder ...

una pregunta ... que ventajas puedo obtener para mi ?
por que hasta ahora solo vi cosas nomas nunca una web hackeada con eso


Puedes modificar la URL, de tal modo que parezca no modificada, esto puedes hacerlo usando "Hexadecimal Characters Code" o etc.

Luego si el sitio usa session cookies, puedes robarselas a tu "victima" mediante un simple script en PHP y JS o lo q sea que quieras usar que te sirva para el proposito que tengas.

Otro ataque seria mediante ingenieria social, mandar la URL a una "victima" la cual se encuentre con un Iframe (o lo que sea) q concuerde con el diseño de la web, la cual le haga un prompt de User/Password, con poco conocimiento de html/php lo puedes hacer muy facil.

Como ves las opciones son muchas .. solo tienes que imaginarlas.
« Última modificación: 4 Marzo 2008, 14:42 pm por Snap90210 » En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
La SGAE, culebrón sin fin
Noticias 		wolfbcn 0 891 Último mensaje 12 Junio 2013, 01:43 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines