|
Título: medio xss en fotolog Publicado por: Castg! en 30 Enero 2010, 20:55 pm buenas, taba navegando por fotolog asi me efeaban por reverse y vi esto:
http://account.fotolog.com/login?redirect= (http://account.fotolog.com/login?redirect=) me llamo la atencion y vi donde se guardava ese valor, era en un input del tipo hidden, asique puse: http://account.fotolog.com/login?redirect=a%22%3E%3Cscript%3Ealert%281%29;%3C/script%3E (http://account.fotolog.com/login?redirect=a%22%3E%3Cscript%3Ealert%281%29;%3C/script%3E) y vi que no sucedia nada, al ver el codigo fuente descubri que me borraba los caracteres "<" y ">", asique empece a intentar con "onevent" "onsubmit" "onload" con todo xD! pero no encontre nada, ahora sinceramente no me interesa fotolog, pero este tipo de vulknerabilidades tinee algun salteo? se entiende? osea hay forma de poner esos caracteres. este xss (porq es un xss nomas que me filtra ><) es tipo al que encontro fede_cp pero en el cambio de lenguaje... Título: Re: medio xss en fotolog Publicado por: WHK en 30 Enero 2010, 23:11 pm Válido para internet explorer
Código: http://account.fotolog.com/login?redirect=a" style="width: epresionje(alert('XSS'));" x="xDonde dice epresionje es expression Título: Re: medio xss en fotolog Publicado por: Castg! en 31 Enero 2010, 01:45 am el ie da pena :s
|