Reto XSS [muy fácil]

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Aquí va el mío.



Saludos!
WhiZ

Lo siento, no has pasado el reto, consistía en poner un alert... No, es broma, me ha gustado mucho tu idea de poner la web de Under y tu nombre en vez de un alert...

Jeje hace unos días pensé en proponer algo así como carta de presentación del URS_Team. No estaría mal, no?

Se puede hacer bien y quedaría genial la verdad... Es una gran idea, proponlo en su sección y a ver que dice el resto...

Un saludo

no se como le hacen desde el navegador "normal" para enviar parámetros post? ://

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
no se como le hacen desde el navegador "normal" para enviar parámetros post? ://

Yo uso una extensión, Live HTTP headers, también te puede servir tamper data, pero prefiero la primera.

Thanks u .

Buenas... Sé que es un tema bastante viejo pero, empezando con XSS, quería probar con algún wargame de acá y me tropecé con éste que no puedo resolver de otra forma que no sea editando el html en local para que tire el alert cuando se haga clic en el botón... (Mal.)

El tema es... ¿Cómo lo hicieron?

Me desalienta que diga [muy fácil] porque quizá si es muy fácil y yo no me doy cuenta o qué onda... Instalé el Live HTTP Headers pero no encuentro nada "útil" a mis mortales ojos. Si. Soy bastante novato, es la primera vez que veo ese complemento y me falta bastante pero... Me intriga saber cómo hacer éste ataque XSS...

Gracias de antemano

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas... Sé que es un tema bastante viejo pero, empezando con XSS, quería probar con algún wargame de acá y me tropecé con éste que no puedo resolver de otra forma que no sea editando el html en local para que tire el alert cuando se haga clic en el botón... (Mal.)

El tema es... ¿Cómo lo hicieron?

Me desalienta que diga [muy fácil] porque quizá si es muy fácil y yo no me doy cuenta o qué onda... Instalé el Live HTTP Headers pero no encuentro nada "útil" a mis mortales ojos. Si. Soy bastante novato, es la primera vez que veo ese complemento y me falta bastante pero... Me intriga saber cómo hacer éste ataque XSS...

Gracias de antemano

Mañana te mando un mp con la explicación. Si hckdrk lo permite, dejaré un Link para descargar un pdf con la solución. 

Saludos!
WhiZ

@Andreus No, lo que sucede es que quizás te desconcierte porque comúnmente hay tutoriales de XSS por método GET y es lo que mas se ve, pero en realidad es lo mismo solo que cambia el metodo por POST (tenes que conocer previamente como funciona PHP con estos métodos), al ser por POST con un editor de cabeceras o "headers" (en este caso yo estoy utilizando BurpSuite) te permite ver la info. que pasa por post al correr el script y de ahí con un poco de imaginación solo tienes que ver donde inyectas el código, cualquier cosa me puedes hablar por MP, Saludos!

EDIT: si WhiZ puede estaría bueno que  suba algún tuto de como solucionar el reto para que la gente que recién comienza entienda.

Dejo el mio !

Divertido gracias por el pequeño reto 



Saludos!

Mi primer XSS. Gracias WhiZ por la orientación.


Saludos Cordiales

Bien facil pero bueno para los principiantes en xss , gracias amigo.m resuelto

Mi primer reto XSS!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mi primer reto XSS!

Hola!!

Después de 5 años siguen usando este reto! muchas gracias a todos!!

Saludos.

Ya ha pasado algún tiempo debería poner la solución el primero que lo soluciono o el dueño del post

muy bueno para los que se están iniciando

Cosa curiosa que no se si los otros usuarios que resolvieron el "reto" detectaron... pues al capturar la info que se envia en post.... me encontre con esto....

Sera parte del reto...? -_-

Gracias por postear estos retos !!
Logre hacer este que es MUY facil pero sigo luchando con el nuevo que solo es "facil" jaja 

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Cosa curiosa que no se si los otros usuarios que resolvieron el "reto" detectaron... pues al capturar la info que se envia en post.... me encontre con esto....

Sera parte del reto...? -_-

Dah! obviamente eso no es parte del reto jajaja

Esa información que muestras no se envía por mi parte, ya que solo recibo un parametro por post y lo muestro en el select.

Tengo teorias
1. lo pusiste solo para molestar
2. algun script de mi@ lo insertó ahi, y es enviado para uso de mi@ (me hospedo en mi@)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
edito el mensaje resulta ser que si me salia pero el bendito chrome no me mostraba las alertas xD esta bueno para empezar esto