Foro de elhacker.net

Pues eso al parecer esta pagina esta echa en asp (creo)

Y al tratar de meter xss me sale algo extraño :s

http://www.xxxxxxxx.com/musica-de/gh/?%3Cscript%3Ealert('holi')%3C/script%3E

Es algo como una advertencia para el webmaster con lo que tiene que hacer para solucionar la url peligrosa ¬¬

Hola, gracias por no mostrar la url de otros sitios como siempre se ha dicho y se ha escrito, talves me haga falta hacer un video :P

Bueno, de todas formas nadie es perfecto y todos cometemos errores.

Acá dejo la captura de pantalla para que los demás puedan saber de que se trata:

(http://i.elhacker.net/i?i=3tD-DGHPhu11zO2Wb6FW_GVo)

Lo que sucede es que este sitio web diseñado en .net con servidor microsoft windows server y si tiene un filtro pero no es firewall es del servidor WEB y funciona para detener en parte ataques básicos como este.

Aparece de forma detallada el error porque el diseñador del sistema web dejó habilitada la opción debugger cosa que jamás se debe hacer con una web publicada, igual que en php cuando lo publicas siempre debe llevar error_reporting a cero para evitar disclosures y escape de información que puedan servir a un atacante.

El diseñador de ese sitio web lo que tubo que haber hecho es dejar el modo debugger en off y prevenir instancias como estas y ejecutar acciones paralelas que avisen a la administración.

Me explico....
decir que si hay error que no muestre nada pero que en cambio le mande un mensaje al administrador con el mensaje de alerta, linea, peticion, ip, etc.

Si escribes http://www.zzxxxxxx.com/musica-de/'lol/

y luego ves el codigo fuente podrás observar que todos sus tags están escritos con variables en comillas simples asi que facilmente puedes inyectar un onload y ejecutar xss y adios filtro básico de microsoft.

Aps perdon por mostrar la direccion... habia olvidado la tecnologia captura de pantalla xD lo lamento.

En resumen no es un bug sino un error del webmaster por no deshabilitar la muestra de errores. Gracas ;)

no es bug del servidor pero si es xss con sus letras, filtros y todo lo demas.

Que dices? Le aviso? Valdrá la pena o me ignorará?

eso depende de ti xD no puedo andar diciendole a todo el mundo que lo reporte o lo ponga en zone-h, cada uno hace lo que quiere con su vida xD pero te recomiendo que le mandes un mail y ya, si lo leen bien y si no entonces que mas se le va a hacer.

O usa xssed.com no se.

Si alguna ves te haces una web con asp .net ya vas a saber que tipo de precauciones tomar.

Ok gracias.

carajo! http://xssed.com/archive/author=WHK/special=1/ (http://xssed.com/archive/author=WHK/special=1/) eso es encontrar vulnerabilidades

mmm y aun asi es numero 60 xD

hubo un tiempo en que estaba entre los primeros 20 pero despues ya ni actualizaban la web mucho asi que me aburrí y no mandé mas xD eso fue hace bastante ya.

Algún dia sabré tanto como tú y talvez más, es lo bueno de admirar a alguien xD (sonó como mala frase de serie de anime pero es verdad)

noe s de chupamedias porq la verdad eso me importa un joraca, pero la verdad yo quiero saber como este tipo, desde que edad estas con esto? whk? php solo sabes me imagino que mas no? me recomiendan que de chico mejor, tengo 7 años de edad.

jajaja yo no soy una enciclopedia con pies xD hay muchos que saben lejos mucho mas que yo, digamos que se mas que lo básico pero no se mucho aunque aun asi es suficiente como para poder responder todas las preguntas básicas que pueda tener alguien.

Yo aprendí php desde que salió phpnuke con php5 ya que en ese tiempo todavía estaba la onda del php4 y no fue dificil porque yo ya sabía un poco de perl y es muy similar.

El primer lenguaje que aprendí fue el batch en windows leyendo codigos fuentes de worms hechos en .bat del año 98-99 aprox.
Despues leia los codigos fentes de las paginas webs y por mas que alguien diga que algo no tiene bug uno igual busca porque siempre hay alguien que encuentra primero algo.

y nada, si quieres aprender de vulnerabilidades webs aprendes php o cualquier lenguaje relacionado, si quieres aprender vulns a nivel software aprendes a programar en c++ y a usar el ensamblador para ver el recorrido de los bites.

No hay nada del otro mundo ni soy un alien ni necesitas se el dios de la red para entender este tipo de cosas, solo necesitas tiempo y ganas nada mas, el resto viene escrito.

mentira janito, no tengo 7 tengo el doble, pero queria saber su reaccion en pensar ! Oh! ese niñito de 7 años sabe eso=? es superdotado, erpo teniendo mi edad no es la gran cosa. jajajaj. cada cosa a su tiempo me dicen siempre. termino un librito que me compre de sql y php con dreamweaver que no era mucho lo esperado y me compro DOMINE EL PHP  ::) ese si que lo quiero ya. me parece que papa noel me viene programado en php   :laugh: