comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[SOLUCIONADO] desafiar.com.ar [DUDA: Bypassing ANTI-XSS Chrome]

  • 7 Respuestas
  • 1516 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado GGZ

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
  • COME AT ME BRAAAAH.
    • Ver Perfil
« en: Abril 23, 2016, 09:44:42 pm »
Buenas,

Hace como un mes encontré un XSS en la página mencionada anteriormente, intenté saltear el filtro Anti XSS de Chrome y pude!
Solamente que ahora lo arreglaron, lo que me lleva a la pregunta de que si ustedes me podrían ayudar a explotarlo.

PoC: You are not allowed to view links. Register or Login

Ese era el que funcionaba hace hace poco en Chrome.

Saludos!
« Última modificación: Abril 24, 2016, 07:30:13 pm por Gabriela »

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 875
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #1 en: Abril 23, 2016, 10:29:00 pm »
A mi me sigue saltando el alert. :D

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado GGZ

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
  • COME AT ME BRAAAAH.
    • Ver Perfil
« Respuesta #2 en: Abril 24, 2016, 02:44:56 pm »
Seguro tenés una versión desactualizada de Chrome entonces.

Desconectado Jimeno

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación -1
  • NULL
    • Ver Perfil
    • Twitter
  • Skype: migueljimeno96
  • Twitter: "><<img src=y onerror=prompt();>
« Respuesta #3 en: Abril 24, 2016, 03:18:30 pm »
Quien detiene el XSS es el XSS-Auditor de Chrome, ellos no lo han fixeado.
Si ejecutas
Código: Bash
  1. google-chrome --disable-xss-auditor
verás que al acceder a la URL salta el alert. Pero por defecto Chrome tiene el XSS-Auditor activo y bloquea la ejecución del JS. Si accedes al código fuente verás que lo resalta y pone algo como "Found Reflected XSS token".

Aquí tienes el reporte original a Chromium para el bypass que utilizaste: You are not allowed to view links. Register or Login
Para la última versión de Chrome no conozco bypass del XSS-Auditor, pero suelen ser bastante jodidos...
« Última modificación: Abril 24, 2016, 03:22:32 pm por Jimeno »
Contacto: @migueljimeno96 -

Desconectado arthusu

  • *
  • Underc0der
  • Mensajes: 536
  • Actividad:
    10%
  • Reputación 2
  • Yo solo se que no se nada - Socrátes
    • Ver Perfil
    • Arthusu BLOG
  • Skype: arthusuxD
« Respuesta #4 en: Abril 24, 2016, 03:30:12 pm »
You are not allowed to view links. Register or Login

Desconectado Jimeno

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación -1
  • NULL
    • Ver Perfil
    • Twitter
  • Skype: migueljimeno96
  • Twitter: "><<img src=y onerror=prompt();>
« Respuesta #5 en: Abril 24, 2016, 03:33:01 pm »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Ese es el del blog de brutelogic :)
Contacto: @migueljimeno96 -

Desconectado GGZ

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
  • COME AT ME BRAAAAH.
    • Ver Perfil
« Respuesta #6 en: Abril 24, 2016, 03:54:56 pm »
Jajaja, ¡gracias! ahí estaba estaba leyendo alguno de esos, gracias a todos!
Jimeno, ya sé que no arreglaron el XSS me refería a que solucionaron el fallo de Chrome porque antes esa URL tiraba el alert en Chrome después lo arreglaron.
Saludos!
« Última modificación: Abril 24, 2016, 03:57:01 pm por str0nasfck »

Desconectado arthusu

  • *
  • Underc0der
  • Mensajes: 536
  • Actividad:
    10%
  • Reputación 2
  • Yo solo se que no se nada - Socrátes
    • Ver Perfil
    • Arthusu BLOG
  • Skype: arthusuxD
« Respuesta #7 en: Abril 24, 2016, 08:53:51 pm »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Ese es el del blog de brutelogic :)
Asi es mi bro! C: y hay un monton mas XD

 

¿Te gustó el post? COMPARTILO!



[SOLUCIONADO] ¿Kali Linux o Kali Linux Ligth ?

Iniciado por worq

Respuestas: 2
Vistas: 5271
Último mensaje Noviembre 21, 2017, 12:28:54 pm
por Codig0Bit
[SOLUCIONADO] ¿Como publicar un software como software libre?

Iniciado por FuriosoJack

Respuestas: 2
Vistas: 1452
Último mensaje Mayo 23, 2017, 07:24:22 am
por HATI
[SOLUCIONADO] Multiuploader de imagenes con mysql, hosting de imagenes con mysql

Iniciado por graphixx

Respuestas: 4
Vistas: 2012
Último mensaje Marzo 26, 2013, 05:42:58 pm
por Xt3mP
[SOLUCIONADO] Linux Mint, errores, errores y mas errores...

Iniciado por n1sendev

Respuestas: 12
Vistas: 2471
Último mensaje Noviembre 22, 2017, 06:50:55 am
por RuidosoBSD
[SOLUCIONADO] Ayuda urgente con Virus "Virus.Win32Sality"

Iniciado por Napsters

Respuestas: 6
Vistas: 3261
Último mensaje Junio 11, 2012, 03:38:18 am
por Satyricon