Pues con la excusa de la búsqueda del XSS he estado mirando algunas líneas de código de SMF2.0, y resulta que de PHP se más bién poco así que si alguien me puede explicar esto lo agradeceré.
En la Wiki del smf2-review dice:


¿A que se refiere esto? Lo que yo he visto en las consultas es que usan las funciones de $smcFunc. Por ejemplo:

$smcFunc['db_query'] (identifier, query, values, connection)

Que hace {string:member_name}? Supongo que convertirá a string $_POST['user'], digo yo que equivaldrá a algo así:


El caso es que no veo que mire el contenido en ningún sitio, con que supongo que lo estará haciendo en la parte de {string:variable}...  Cualquier cosa que me cuenten me sirve porqué tengo muy poca idea... 

Bueno, y luego pasa $request a otra función de $smcFunc, realiza la consulta y etcétera...

Gracias por adelantado!! 

Jujuju!! Menudo movimiento ha habido por aquí...xD Pues ahora me pongo a buscarlo pero apuesto a que ya se dónde está el bug...  A ver si soy capaz de sacarlo!!

PD: Esto de llegar y meterla es sospechoso notxor...  No serás un miembro del simple audit revelado??

Saludos!

Te creas tu propia página evil.html y la subes donde te de la gana:


Y le pasas el link http://tuhost/evil.html, en cuánto la habrá se enviará el formulario con el XSS.

Será que pasan la variable por POST en lugar de por GET... Si sólo hicieron eso y no han puesto ningún filtro sigue siendo igual de vulnerable. Sólo que para explotarlo en lugar de enviar el link a la víctima con el XSS en la url les pasas la dirección a evil.html y desde allí que automáticamente hagan la petición por POST con el XSS... 

Bah ya me cansé...xD Ahí va la mejor idea que tuve, que igual no tiene ni sentido pero... Trata en meter un bbcode que no parsee las " dentro de un bbcode tipo url para escaparlo y poder meterle un evento js, pero nanai...

Luego seguiré trabajando la idea...xD Lo dejo por si le sirve a alguien:

[url="[quote author=" onerror=alert(5)][/quote]]clik[/url]

La idea era que el quote se convirtiera en un:
y despues se tratará la url...xD Pero el url se cierra con el primer ] que encuentra así que tendré que probar otra cosa...

Va a ser que tocará esperar al domingo para entender bién esto...xD

Que yo sepa en ningún sitio dice que pueda ser ejecutado por visitantes... Piensa que es persistente además.

Igual hay que montar un team para auditar elhacker.net...

Si lo puede hacer alguien deslogueado no creo que pueda conseguir algo persistente a no ser que cree un usuario con un XSS, y no creo que esté bién empezar a crear usuarios test123, adqwd, 12312 (más de los que ya debe haber).
Así que yo he estado probando a editar mi perfil, pero nada... Lo más probable es que se encuentre en el envio de un post!!   Me molan los ojos locos...

Yo estaba intentando leer la función parse_bcc, pero me he quedado... A ver si otro rato con más calma lo voy entendiendo! 

Feliz Navidad!

Si bueno... Me refería a que la ventana de aviso que saca tuenti "El link al que intentas acceder está fuera de Tuenti. ¿Estás seguro de que deseas continuar?". Una cosa es tener que clicar un link y que salte un XSS, y otra es clicar un link ver un mensaje de alerta y tener que darle al OK. Aunque supongo que la mayoría no se paran a leer nada de eso..xD

Cuándo enganche a algún amigo me pongo a hacer más pruebas a ver.

Yo también estuve haciendo pruebas con un amigo y funciona bién... Lo malo es que obliga a hacer click y es muy sospechoso.