|
Título: Adivina como hice este hemoso XSS! Publicado por: Jubjub en 30 Mayo 2009, 20:35 pm Esta tarde, en un ataque de "inspiracion" (si se peude llamar asi :P ) se me ocurrio una forma de ""XSS"", o incluso de hacer inyecciones SQL por una via de entrada muy utilizada, pero en la que nadie suele reparar ni es filtrada..
En resumen.. ¿sabes como hice este XSS? (Solo con la direcciond e la web es facil :laugh: ) Pista: No fue en la peticion GET ni POST (modificada) (http://i40.tinypic.com/18ozza.jpg) Título: Re: Adivina como hice este hemoso XSS! Publicado por: odeONeSs en 30 Mayo 2009, 21:09 pm X-Forwarded-For o client-IP no??? Me equivoco??
Un saludo!! :D Título: Re: Adivina como hice este hemoso XSS! Publicado por: braulio-- en 30 Mayo 2009, 21:22 pm X-Forwarded-For o client-IP no??? Me equivoco?? He probado con esas dos y nada.Un saludo!! :D Estoy intrigado. Título: Re: Adivina como hice este hemoso XSS! Publicado por: Jubjub en 30 Mayo 2009, 21:26 pm Aqui esta la solucion: (enhorabuena odeONeSs)
(http://i40.tinypic.com/2pzgxuo.jpg) Pense que seria mas dificil :P Título: Re: Adivina como hice este hemoso XSS! Publicado por: odeONeSs en 30 Mayo 2009, 21:29 pm ;D ;D ;D ;D jejejej hice pruebas sobre eso hace tiempo, lo que pasa que para encontrar una sqli de ese tipo es muy dificil, ya que no se suelen hacer filtrados de ips (a no ser que esten ddoseando la web)
PD: XSS es mucho mas facil de encontrar Un saludo!! Título: Re: Adivina como hice este hemoso XSS! Publicado por: braulio-- en 30 Mayo 2009, 21:37 pm Pues yo lo he probado añadiendo la cabecera con el Live Http Headers y no me va.
Lo debo hacer mal... Título: Re: Adivina como hice este hemoso XSS! Publicado por: Darioxhcx en 30 Mayo 2009, 21:41 pm el topic tiene mas pinta
off-topic q cualkier otra cosa xDD ya sabia eso u.u saludos Título: Re: Adivina como hice este hemoso XSS! Publicado por: Jubjub en 30 Mayo 2009, 21:49 pm u.u al fin y al cabo es un Bug a Nivel Web (vulnerabilidad de pende ya de tu habilidad :P )
Título: Re: Adivina como hice este hemoso XSS! Publicado por: odeONeSs en 30 Mayo 2009, 21:53 pm A mi me funciona perfectamente xD
(http://img199.imageshack.us/img199/1857/xsscualesmipip.jpg) Título: Re: Adivina como hice este hemoso XSS! Publicado por: Darioxhcx en 30 Mayo 2009, 22:02 pm si eso si :P
cualesmiip.com y todas esas tmb lo tienen login-root puso un video sobre esto hace tiempo aca a lo que iba es que primer post lo decis "adivinen como hice esto" se supone que un poco de informacion se tiene que dar sobre X vuln o x lo menos dar el nombre... no jugar a las adivinanzas a eso voy :P saludos Título: Re: Adivina como hice este hemoso XSS! Publicado por: lipman en 30 Mayo 2009, 22:40 pm Y como es que algunos no te deja?
Y fijaos, que aqui: http://www.vermiip.es/ Da el XSS y la IP O.o xD Título: Re: Adivina como hice este hemoso XSS! Publicado por: Jubjub en 30 Mayo 2009, 23:19 pm SI, eso es que utilizan la forma del array $_GLOBAL['remoteadd'] (asi a ojo) y luego metodos mas veridicos :)
Título: Re: Adivina como hice este hemoso XSS! Publicado por: s E t H en 1 Junio 2009, 01:40 am tambien hay en las que te muestran el user-agent
|