elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Xss en smf 1.1.4?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Xss en smf 1.1.4?  (Leído 4,015 veces)
-explicito-

Desconectado Desconectado

Mensajes: 57



Ver Perfil
Xss en smf 1.1.4?
« en: 9 Octubre 2007, 18:31 pm »
http://www.blackroots.it/forum/index.php?topic=1154.0

Supuestamente
http://www.blackroots.it/files/bug_exploit/xss_smf_1.1.4.txt

Si eliminan el tema agradeceria que despues se publique la solucion.

GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG ASAS
« Última modificación: 3 Enero 2009, 20:53 pm por acapulco_fest » En línea
-explicito-

Desconectado Desconectado

Mensajes: 57



Ver Perfil
Re: Xss en smf 1.1.4?
« Respuesta #1 en: 9 Octubre 2007, 22:13 pm »
solo para actualizarlo.. comprado. hay que ser moderador. para poder explotar esta vulnerabilidad.
 ;D No creo que aqui existan Traisioneros que quieran abusar de confianza  :o
En línea
дٳŦ٭
GNU/Linux Infrastructure Specialist
Ex-Staff
*
Desconectado Desconectado

Mensajes: 5.110


Ver Perfil WWW
Re: Xss en smf 1.1.4?
« Respuesta #2 en: 9 Octubre 2007, 22:24 pm »
Es porque tienes permiso para introducir html en las noticias, no es ningún xss.
En línea
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Xss en smf 1.1.4?
« Respuesta #3 en: 9 Octubre 2007, 22:51 pm »
Cita de: Ing_Amc en  9 Octubre 2007, 22:24 pm
Es porque tienes permiso para introducir html en las noticias, no es ningún xss.

xDDD Exacto, para hacer eso metes directamente eso dentro del index y tambien sale  :xD
En línea
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
Ertai
Colaborador
***
Desconectado Desconectado

Mensajes: 2.025


Ralph Wiggum


Ver Perfil
Re: Xss en smf 1.1.4?
« Respuesta #4 en: 9 Octubre 2007, 23:49 pm »
El colmo de los colmos.

Ahora los admin prueban XSS con sus foros, no?
En línea
Si la felicidad se comprara, entonces el dinero sería noble.

Código:
void rotar_by_ref(int& a, int& b) {
   /* Quien dijo que no se podia sin una variable temporal? */
   *a = *a ^ *b;
   *b = *a ^ *b;
   *a = *a ^ *b;
}
yeikos


Desconectado Desconectado

Mensajes: 1.424



Ver Perfil
Re: Xss en smf 1.1.4?
« Respuesta #5 en: 10 Octubre 2007, 16:16 pm »
Sería un tema a debatir, el de si los programadores, conscientemente, no establecieron un sistema de filtración en la variable de los nombres de los subforos y de los grupos...

Que no exista tal protección en un sistema de noticias puede ser pasable, ¿pero qué utilidad puede tener alterar el contenido a visualizar de dos variables cuya única función es mostrar un dato constante e informativo? Estoy hablando de los módulos manageboards y membergroups...

A pesar de los daños que podrían ocasionar estos ataques, existen las sesiones de identificación, las cuales nos protegen contra posibles actos no deseados, en nuestro foro, al visitar cierto tipo de páginas Web con código malicioso.

Hablo de la ejecución de ciertas operaciones mediante formularios que se auto envían al visitar una página Web, previamente manipulada para ello, claro ésta. Si desconocemos el identificador de sesión, que es un combinación alfanumérica generada pseudo-aleatoriamente en cada sesión, no podremos ejecutar esa serie de operaciones.

Conclusión... no hay peligro inminente.
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines