elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [XSS] Fotolog.com
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: [XSS] Fotolog.com  (Leído 8,448 veces)
qwertty

Desconectado Desconectado

Mensajes: 12



Ver Perfil
[XSS] Fotolog.com
« en: 19 Julio 2009, 03:32 am »

 XSS descubierto por FeDeX.
________________

 Con este XSS podemos sacar la cookie LEC que es la que nos hace loguearnos.. con ella podemos acceder a nuestra cuenta sin la contraseña O:

 El XSS está en el "perfil", justo donde introducimos el email.
 [http://txn.fotolog.com/accountinfo]

 Hay que introducir en email:

>> miemail@email.com" onmouseover="alert(document.cookie);">

 Luego presionar ENTER sin poner pass y al pasar el mouse por encima del email...



Et voilà!

 Esta información se las doy para fines educativos y aver quien puede aprovechar esta info..
creo que el XSS no es muy conocido..

ByteZ
En línea

YST


Desconectado Desconectado

Mensajes: 965


I'm you


Ver Perfil WWW
Re: [XSS] Fotolog.com
« Respuesta #1 en: 19 Julio 2009, 03:40 am »

El fotolog esta tapado en XSS :xD .

Esto va en este hilo

http://foro.elhacker.net/nivel_web/recopilatorio_de_vulnerabilidades_de_xsssqlinjection-t220843.0.html
En línea



Yo le enseñe a Kayser a usar objetos en ASM
qwertty

Desconectado Desconectado

Mensajes: 12



Ver Perfil
Re: [XSS] Fotolog.com
« Respuesta #2 en: 19 Julio 2009, 03:41 am »

Oooops!.. algun mod que borre esto XD o que lo mueva.. nose.. xdd

Sry..
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: [XSS] Fotolog.com
« Respuesta #3 en: 19 Julio 2009, 21:13 pm »

Hola, k tal..
podrías poner alguna fuente externa como tipo noticia y ponerlo acá y así poder mantener el post y moverlo al recopilatorio, en caso contrario no lo puedo mantener.

http://foro.elhacker.net/nivel_web/recopilatorio_de_vulnerabilidades_de_xsssqlinjection-t220843.0.html

Es decir, URL del aviso debe ser una URL externa al foro, y es obligatoria (a menos que la vulnerabilidad ya haya sido arreglada).
En línea

qwertty

Desconectado Desconectado

Mensajes: 12



Ver Perfil
Re: [XSS] Fotolog.com
« Respuesta #4 en: 19 Julio 2009, 23:43 pm »

 WHK ya lo postie en el recopilatorio..

http://foro.elhacker.net/nivel_web/recopilatorio_de_vulnerabilidades_de_xsssqlinjection-t220843.15.html

y pase el code del tema a txt.io

http://txt.io/t-agZ0eHQtaW9yDwsSB3R4dExpc3QY3aYCDA

 Borren el tema si quieren..
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: [XSS] Fotolog.com
« Respuesta #5 en: 20 Julio 2009, 04:18 am »

No te preocupes, igual gracias por la explicación  :)

Citar
En línea

Erik#


Desconectado Desconectado

Mensajes: 1.138


Gundam


Ver Perfil
Re: [XSS] Fotolog.com
« Respuesta #6 en: 24 Julio 2009, 22:32 pm »

No lo comprendo bien, necesitas estar logueado para hacer este ataque XSS verdad?
En línea

suglus

Desconectado Desconectado

Mensajes: 65


todo termina algun dia


Ver Perfil WWW
Re: [XSS] Fotolog.com
« Respuesta #7 en: 25 Julio 2009, 12:28 pm »

Si ademas que la cookie la tienes en tu pc y la puedes ver sin eso.
No estan validando ese campo, se puede hacer sql injection ahi?
En línea

todo termina algun dia
YST


Desconectado Desconectado

Mensajes: 965


I'm you


Ver Perfil WWW
Re: [XSS] Fotolog.com
« Respuesta #8 en: 25 Julio 2009, 17:58 pm »

Si ademas que la cookie la tienes en tu pc y la puedes ver sin eso.
No estan validando ese campo, se puede hacer sql injection ahi?
Haciendo el XSS puedes pasar la cookie a otro php mediante get .

Los XSS no tienen nada que ver con la inyección SQL ,

http://es.wikipedia.org/wiki/Cross-site_scripting

http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
En línea



Yo le enseñe a Kayser a usar objetos en ASM
suglus

Desconectado Desconectado

Mensajes: 65


todo termina algun dia


Ver Perfil WWW
Re: [XSS] Fotolog.com
« Respuesta #9 en: 26 Julio 2009, 00:22 am »

Esto no entendi a que te refieres

Haciendo el XSS puedes pasar la cookie a otro php mediante get .


Y a lo que me referia con el sql injection es que parece que no estan validando el campo al meterlo en la bbdd.
En línea

todo termina algun dia
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Recuperar antiguo FOTOLOG
Dudas Generales
bostero 3 10,369 Último mensaje 18 Noviembre 2022, 20:59 pm
por bostero
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines