Underc0de - Hacking y seguridad informática

[In]Seguridad Informática => Bugs y Exploits => Hacking ShowOff => Mensaje iniciado por: ANTRAX en Junio 02, 2016, 12:03:00 pm

Título: [XSS] educacionit.com
Publicado por: ANTRAX en Junio 02, 2016, 12:03:00 pm
Hola!

Estaba googleando por cursos de seguridad informática y me topé con el sitio educacionit.com
Solo por curiosidad metí un XSS en su buscador y por sorpresa mia apareció un alert... Me pareció irónico que enseñen seguridad informática y su sitio tenga este tipo de falla...

Más allá de eso, nosotros también lo hemos tenido, pero al menos lo hemos solucionado.

(https://lh3.googleusercontent.com/-qOc0SrswIzA/V1BKQ5mt-QI/AAAAAAAAESc/vPGFIBWeoR4X550Cwx9-Iz3f5OUP9aswACCo/s912/xss2.png)

URL: educacionit.com >> Buscador >> (http://www.educacionit.com/busqueda?s=%3Cscript%3Ealert%28%2FANTRAX%2F%29%3C%2Fscript%3E)
Vector: <script>alert(/XSS/)</script>
Reportado: SI

Saludos!
ANTRAX
Título: Re:[XSS] educacionit.com
Publicado por: Nobody en Junio 02, 2016, 05:09:19 pm
¡Hola!

La verdad, una lástima.

http://www.educacionit.com/generar_pago?sucursal=central&nombreAlumno=Underc0de&apellidoAlumno=org&mailAlumno=underc0de.org&destino=destCurso&curso=curso-de-seguridad-web&generarPaq=&generarOtro=&monto=1

Método: POST (montoEditable).

P.D.: Que ironía que tengan un curso llamado "Seguridad Web: SQL Injection & XSS".

Saludos.
Título: Re:[XSS] educacionit.com
Publicado por: ezephp en Junio 21, 2016, 03:11:53 pm
y eso que le pusieron seguridad..., hace mas de 1 año... fue penetrada, con acceso a todo..., y defaceada tambien.

Saludos