lunes, 25 de febrero de 2013

XSS con chocolate - Day 3

Hola otra vez!

Bueno, hoy en el day 3 de XSS voy a poner algo que mola bastante, no es bien bien una vulnerabilidad de tipo cross-site scripting, pero si de SQL (no Sql injection).

Ha sido encontrada por un amigo mío llamado Stakewinner00, una bastante fuerte la verdad y es de esas que te estas un día entero jugando... Bueno, tengo los datos de las tablas database y la verdad que no voy a subirlas enteras ni a mostrarlas al 100% ya que es ilegal xD

También decir que no voy a subir la url del infectado ya que es un fallo bastante grave y que se puede acceder facilmente con conocimientos de SQL, por lo tanto sería desvelar un truco... Y un mago nunca dice su truco jaja

Clic para hacer grande
 En el pantallazo podemos ver arriba a la izquierda el listado de el contenido de una de las bases de datos junto a sus propiedades de ID... A la derecha la lista de toooooooooodas las database, y que obviamente se puede acceder para obtener datos. Abajo hay el log para demostrar que se ha hecho y detrás la terminal con sqlmap para ir jugando con sus bases jejeje

Espero que hoy día tres, por ser el numero de la buena suerte os haya gustado e impresionado... Gracias nuevamente de stakewinner00 y nos vemos nuevamente en más XSS con chocolate!

Saludos :)
Publicado por en 2 comentarios:

miércoles, 20 de febrero de 2013

Cross-site scripting con chocolate - Day 2

Hola!! Aquí de nuevo con el día dos de los XSS... La verdad que hoy no tengo intención de subir ningún XSS, actual, pero sí reciente.

Hace unos tres días encontré una vulnerabilidad de tipo high, que también permitía crear botnets. Cómo no...

Pero este XSS se encontraba ni más ni menos que en la famosa empresa no-ip, una empresa que me ha caído bien a pésar de su gran vuln, ¿porque? Hahah, os dejo unas imágenes, ya que una vale más que mil palabras (eso dicen)

Clic para hacer grande
  Aquí podemos ver la conversación con no-ip, diciendo que había encontrado la siguiente vulnerabilidad;

Clic para hacer grande


Bueno, que conste que la vulnerabilidad ya ha estado fijada así que me da igual poner el link... Finalmente, para aquellos que no os creaís que me han dado los 33 dolares, dejo la imagen que lo demuestra;

Si es que ya digo, las vulnerabilidades son toda una belleza xD Yiiija, ya tengo dominio para Infiniter FREE y dinero que me sobra. Estoy contento, ya que es la primera vez que me dan las gracias por algo como esto. (Y la primera vez que lo envió, espero que sigan ayudando xD)

Nos vemos hoy con otros XSS o si no, mañana si puedo!!
Publicado por en No hay comentarios:

martes, 19 de febrero de 2013

Cross-site Scripting con chocolate - Day 1

El arte de buscar XSS es uno de los más bonitos del mundo de la informática, ya que permite al usuario demostrar los agujeros de seguridad en un código web. Y tengo un plan. Puesto esta curiosa diversión de buscar XSS, he decidido que voy a intentar cada día o casi cada día publicar XSS y a ver que encontramos a final de año xD

Clic para hacer grande

 Iré subiendo xss según encuentre con el título de "XSS con chocolate". La idea es encontrar para arreglar, y no encontrar para destruir. Si os animáis podéis buscarla vosotros también, siempre dejaré el link pero no el infectado sino el real para poneros a prueba.




Qué se puede hacer con esto?
  • Obtener passwords, cookies (document.cookie), etc.
  • Crear botnets
  • Creo que con decir botnet, puedo decir que ya se puede petar todo, siempre que ponga "Crear botnets", querrá decir que se puede petar a saco xD (vamos, todo lo petable)
Le he encontrado más a esta web, pero nada como esta, voy a ver si encuentro algún sql injection...

Hasta el próximo XSS!!
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)