Página 2 de 14
Re: Reporte de bugs en webs
Publicado: 03 Jun 2010, 00:06
por deck
la intente tira yo lo q pasa q no salen las tablas ni nada jaja no se ven
Re: Reporte de bugs en webs
Publicado: 03 Jun 2010, 20:21
por yeikel
No me deja editar el mensaje anterior
Web: [Enlace externo eliminado para invitados]
Link del error: [Enlace externo eliminado para invitados] ... ?letter='z
Mètodo utilizado: Blind Sql
Descubridor: Yeikel
Panel: [Enlace externo eliminado para invitados]
-----------------------------------------------------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Link del error: [Enlace externo eliminado para invitados]
Método utilizado: Sql Injection
Descubridor: Yeikel
Panel: [Enlace externo eliminado para invitados]
-----------------------------------------------------------------------------------------------------
Re: Reporte de bugs en webs
Publicado: 03 Jun 2010, 21:09
por Skillmax
WEB: [Enlace externo eliminado para invitados]
Link del error: [Enlace externo eliminado para invitados]
Metodo Utilizado: XSS
Descubridor: SkillmaX
Panel: [Enlace externo eliminado para invitados]
Otros comentarios: La web es un colegio de arquitectura de Inglaterra (creo)
-----------------------------------------------------------------------------
WEB: [Enlace externo eliminado para invitados]
Link del error: [Enlace externo eliminado para invitados]
Metodo Utilizado: Arbitrary File Download
Descubridor: SkillmaX
Panel:No buscado
Otros comentarios: Vulneabilidad que descarga los archivos que tu quieras del servidor, poco vista pero muy buena.
Saludos!
Re: Reporte de bugs en webs
Publicado: 04 Jun 2010, 15:11
por yeikel
Web:[Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados] ... tegoryid='
Mètodo utilizado: Sql Injection
Descubridor: Yeikel
Panel: [Enlace externo eliminado para invitados]
----------------------------------------------------------------------------------------------------------
Web:[Enlace externo eliminado para invitados]
Bug : esta web me dio mucha gracia por lo ingenuo que es administrador del sitio
Mètodo utilizado: ¿? no se como llamarle a esto
Descubridor: Yeikel
Panel: [Enlace externo eliminado para invitados]
Login : admin:pass
-------------------------------------------------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]'
Mètodo utilizado: Blind Sql
Descubridor: Yeikel
Panel: [Enlace externo eliminado para invitados]
---------------------------------------------------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]'
Mètodo utilizado: Sql Injection
Descubridor: Yeikel
Panel: [Enlace externo eliminado para invitados]
----------------------------------------------------------------------------------------------------------
Re: Reporte de bugs en webs
Publicado: 04 Jun 2010, 22:38
por yeikel
Añado más , pero esto se está pareciendo a SPAM si no puedo editar mis mensajes anteriores
¿Qué pasa? Si la url es muy larga quedan .... en el post , asi que usaré tiniurl
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]
Mètodo utilizado: Blind Sql
Descubridor: Yeikel
Panel: No buscado
-------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]
Mètodo utilizado: Blind Sql
Descubridor: Yeikel
Panel: [Enlace externo eliminado para invitados]
Info Extra : Es una buena web , no la ataquen . Aunque eso queda siempre en su criterio personal
-------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]
Mètodo utilizado: Blind Sql
Descubridor: Yeikel
Panel:[Enlace externo eliminado para invitados]
-------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]'
Mètodo utilizado: Sql Injection
Descubridor: Yeikel
Panel: [Enlace externo eliminado para invitados]
--------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]
Mètodo utilizado: Sql Injection
Descubridor: Yeikel
Panel: ¿es un host gratuito?
Datos extras: Con la injección lo que se puede es atacar la parte de la db donde está el forum por lo que ya desde ahi se puede acceder al panel de control de PHBB
--------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]
Mètodo utilizado: Blind Sql
Descubridor: Yeikel
Panel: No encontrado
--------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]
Mètodo utilizado: Blind Sql
Descubridor: Yeikel
Panel:[Enlace externo eliminado para invitados]
------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]
Mètodo utilizado: Sql Injection
Descubridor: Yeikel
Panel : No encontrado
------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]
Mètodo utilizado: Sql Injection
Descubridor: Yeikel
Panel : Panel del foro o login en el propio index
Extra : Me sorprendiò mucho que una web de estas características tuviera un error tan sencillo . Si se le hace dump a la db se puede extraer muchísimos email/user/pass ( users registrados en el foro ) . Aunque la ausencia de la tabla information_schema en la db hace que la injección se haga muy larga
------------------------------------------------------------
Web: [Enlace externo eliminado para invitados]
Bug : [Enlace externo eliminado para invitados]'
Mètodo utilizado: Blind Sql
Descubridor: Yeikel
Panel: [Enlace externo eliminado para invitados]
Saludos y animense a colaborar con el post
Re: Reporte de bugs en webs
Publicado: 06 Jun 2010, 21:57
por 3mp3z@ndo
La version del Mysql es la 4.0.16, no tienes acceso a information_schema.tables, toca brutear tablas
Re: Reporte de bugs en webs
Publicado: 06 Jun 2010, 22:05
por deck
exacto como dice 3mp3zando hay q brutear es solo a partir de la version 5
Pd: y Si hacemos un team de buscar bugs?
Re: Reporte de bugs en webs
Publicado: 07 Jun 2010, 13:08
por Skillmax
deck escribió:exacto como dice 3mp3zando hay q brutear es solo a partir de la version 5
Pd: y Si hacemos un team de buscar bugs?
Ya hay muchos, pero si quieren hacer uno, encantado, todo sea por reportar.. y fixear!
Re: Reporte de bugs en webs
Publicado: 07 Jun 2010, 13:09
por deck
quien quiera unirse q lo diga y nos juntamos x msn
Re: Reporte de bugs en webs
Publicado: 07 Jun 2010, 21:41
por deck
pues ya somos 3 dame tu msn x privao
Re: Reporte de bugs en webs
Publicado: 08 Jun 2010, 07:51
por Skillmax
Todos los que quieran unirse, que me mande un privado con los msn.
Un saludo!
Re: Reporte de bugs en webs
Publicado: 08 Jun 2010, 11:24
por Skillmax
WEB: [Enlace externo eliminado para invitados]
BUG: [Enlace externo eliminado para invitados]
Metodo Utilizado: XSS
Descubridor: SkillmaX
Panel: No buscado