send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[XSS] Tuenti.com

  • 2 Respuestas
  • 1518 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1881
  • Actividad:
    23.33%
  • Reputación 14
    • Ver Perfil
« en: Febrero 16, 2015, 06:21:29 pm »
Bueno, puesto a que ya arreglaron todos los fallos ya puedo publicarlo, sin más, os dejo todos los detalles de las vulnerabilidades:

Url afectada: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (Antes era .com, lo cambiarian por mi? Quien sabe xDD)
Hall of fame: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (@alvarodh5 Álvaro Díaz)

XSS Stored en el apartado Mis Datos:

Básicamente, consiste en cambiar los datos de cuenta por un payload como este:

Payload: "><img src=x onerror=prompt('@alvarodh5')>



XSS Stored en Cuenta VIP:

Partiendo de la primera vulnerabilidad, accedemos a Cuenta Vip 0€ donde nos informa de nuestro saldo acumulado, y como nos indica nuestro nombre, es vulnerable:

Payload: <h1>@alvarodh5</h1>


XSS Reflejado en el buscador:


XSS Stored en los comentarios:

En los comentarios, se muestra el nombre de la persona (obvio), pues si modificamos nuestro nombre desde la misma página que antes, tendremos nuestro querido XSS Stored ^^



Por desgracia, no puedo reportar la open redirect, pues aún no la han fixeado, de todas formas, si que que puedo poner esta imagen ya que no desvelo nada xD



Por cierto, por si a alguien le han entrado ganas, ahora el dominio lo han modificado por este: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, y solo pueden acceder los que tengan acceso a tuenti móvil.
« Última modificación: Febrero 16, 2015, 06:26:46 pm por blackdrake »



Desconectado Expermicid

  • *
  • Underc0der
  • Mensajes: 457
  • Actividad:
    0%
  • Reputación 0
  • _-Expermicid-_
    • Ver Perfil
  • Skype: expermicid.xd
« Respuesta #1 en: Febrero 16, 2015, 09:20:04 pm »
Buenisimo blackdrake!!!

Saludos

Desconectado WhiZ

  • *
  • Underc0der
  • Mensajes: 395
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Febrero 17, 2015, 04:39:39 am »
Grande Black! Todo un ejemplo a seguir, tanto en lo que respecta al conocimiento así como a la postura adoptada frente a esta situación.

Felicitaciones! HoF 100% merecido!

Saludos!
WhiZ


 

¿Te gustó el post? COMPARTILO!