últimos mensajes de: tragantras - Página 32

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

10 Mayo 2024, 09:57 am

Tema destacado: Security Series.XSS. [Cross Site Scripting]

Mostrar Mensajes
Páginas: 1 ... 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 [32] 33 34 35 36 37

311	Seguridad Informática / Hacking / Re: Shell-Run \| IPFilter - By VanHan	en: 11 Febrero 2010, 23:02 pm
y así, por curiosidad, pq los "cifras" si no son malware? jajaja

312	Seguridad Informática / Nivel Web / Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD	en: 10 Febrero 2010, 23:46 pm
sin ánimo ninguno de seguir desvirtuando este post, solo quería remarcar que el bypassing de el referer es cuestión trivial, es decir que la complicación de un csrf por post, quizá tan solo sea cuestion de ingeniera social, más que de problemas técnicos un saludo y de nuevo felicidades por el descubrimiento =)

313	Seguridad Informática / Nivel Web / Re: XSS Help!!!	en: 10 Febrero 2010, 17:20 pm
esto va en nivel web... XD prueba con document.location en lugar de window.location pD: de javascript no tengo demasiada idea pero es lo k e visto @ google :/ un saludo!

314	Seguridad Informática / Nivel Web / Re: Full Path Disclosure en mayoria de blog WordPress	en: 10 Febrero 2010, 09:49 am
jajaja qué bueno :] mira Castg lo que obtuve haciendo pruebas en un random wordpress blog xD http://wordpress.deseoaprender.com/wp-includes/ metete y miralo jaja

315	Seguridad Informática / Nivel Web / Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD	en: 7 Febrero 2010, 22:27 pm
Cita de: yoyahack en 7 Febrero 2010, 22:14 pm Get no es igual a URL, lo que hace GET es un QUERY_STRING Un CSRF via GET es casi siempre mas peligroso que un via POST, ya que un CSRF via POST es mas limitado a explotar que uno via GET, si fuera GET les dejas un comentario y si los comentarios usan BBcode puedes dejarlo asi Código: [img]CSRF[/img] Y al tratar de visualizar la imagen estaría enviando la peticion GET. Los CSRF via POST son un poco muy complicado y a la vez simple, por ejemplo no es necesario que el vaya a la pagina que quiero para que ejecute el CSRF, porque si encuentro un XSS permanente puedo ejecutar un inframe y activarse al tratar de visualizarlo. vamos a ver... jajaja estás muy puntilloso eh amigo xD claro que get != url pero su principal aplicación es esa, vale que el bbcode tambien interprete, pero los bbforums representan un pequeño porcentaje respecto de todos los codes... bueno, no digo más que capaz ers de corregirme hasta las tildes... jajajaja un saludo

316	Seguridad Informática / Nivel Web / Re: Como lograr este SQL inyection??	en: 7 Febrero 2010, 21:31 pm
depende del filtrado que le estés haciendo a las variables de entrada ( las que recoges del exterior ). Dado que en ese pedazo de código no lo pones entiendo que las tienes sin filtrar... sino pues echale un vistazo puede que por eso no puedas hacer el bypassing un saludo ^^

317	Seguridad Informática / Nivel Web / Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD	en: 7 Febrero 2010, 21:28 pm
Cita de: yoyahack en 7 Febrero 2010, 17:48 pm Cita de: tragantras en 7 Febrero 2010, 17:36 pm Cita de: yoyahack en 7 Febrero 2010, 15:18 pm No estoy muy seguro como funciona fotolog porque no lo uso pero tengo varias dudas acerca de XSRF/CSRF, aver para explotarlo es necesario que la vitcima vaya a la direccion del formulario o que ustedes usen un inframe para que cuando entre al blog se ejecute el CSRF, ps como no uso fotolog ps e gustaria que den un poco mas de info de la posible explotacion. en estos casos son CSRF de formularios, es decir el atacante inserta en su web el código con un autosubmit y manda el link a los atacados, cuando éstos entren en el link (de la web del atacante), el formulario se envia(al fotolog) sin requerir un token y hace su magia pero no tiene pq ser así, tambien hay csrf con peticiones GET en vez de POST Eso no es CSRF de formularios, porque no existe CSRF de formulario, es un CSRF via POST. fotolog es una web conocida y no creo que limiten a los usuarios a usar ‭‬javascript para modificar sus webs, por eso hize el post anterior. cuando dije "de formularios" me refería (obviamente) via post, quizá me expresé mal, pero quería que entendieses cuales son las 2 aplicaciones. POST = Formularios, GET = URL. El tema del javascript, es que el javascript corre por parte del usuario...si navegas por una web que haga uso de este tipo de CSRF para cambiar datos es cosa tuya, no de Fotolog. Un saludo mexicanitos jajaja =)

318	Seguridad Informática / Nivel Web / Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD	en: 7 Febrero 2010, 17:36 pm
Cita de: yoyahack en 7 Febrero 2010, 15:18 pm No estoy muy seguro como funciona fotolog porque no lo uso pero tengo varias dudas acerca de XSRF/CSRF, aver para explotarlo es necesario que la vitcima vaya a la direccion del formulario o que ustedes usen un inframe para que cuando entre al blog se ejecute el CSRF, ps como no uso fotolog ps e gustaria que den un poco mas de info de la posible explotacion. en estos casos son CSRF de formularios, es decir el atacante inserta en su web el código con un autosubmit y manda el link a los atacados, cuando éstos entren en el link (de la web del atacante), el formulario se envia(al fotolog) sin requerir un token y hace su magia pero no tiene pq ser así, tambien hay csrf con peticiones GET en vez de POST

319	Seguridad Informática / Nivel Web / Re: Fede_cp y Castg! Simple disclosure de Fotolog.com! xD	en: 7 Febrero 2010, 12:05 pm
jajaja buen trabajo ^^ la verdad que yo, al igual que shellroot, los envidio al poder compartir información en persona. Como no, y siguiendo con mi espiritu... "criticista", he de hacer una sugerencia..., por qué os cuesta tanto escribir de una manera más legible? xD Supongo que será por cosas de costumbres, y por otra parte el hecho de ser de otro país el idioma al final termina "desvirtuándose" (que no tiene porque ser malo) pero la verdad es que cuesta a veces seguir los posts de los del otro lado del charco jaja Un saludo y espero que no se lo tomen a mal =)

320	Seguridad Informática / Hacking / Re: descifrar 3Des neocrypt	en: 5 Febrero 2010, 17:13 pm
nunca entenderé el por qué de palabras como "comprencion" :/

Páginas: 1 ... 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 [32] 33 34 35 36 37

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines