comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[XSS] Tuenti.com

  • 2 Respuestas
  • 1632 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1910
  • Actividad:
    13.33%
  • Reputación 15
    • Ver Perfil
« en: Febrero 16, 2015, 06:21:29 pm »
Bueno, puesto a que ya arreglaron todos los fallos ya puedo publicarlo, sin más, os dejo todos los detalles de las vulnerabilidades:

Url afectada: No tienes permisos para ver links. Registrate o Entra con tu cuenta (Antes era .com, lo cambiarian por mi? Quien sabe xDD)
Hall of fame: No tienes permisos para ver links. Registrate o Entra con tu cuenta (@alvarodh5 Álvaro Díaz)

XSS Stored en el apartado Mis Datos:

Básicamente, consiste en cambiar los datos de cuenta por un payload como este:

Payload: "><img src=x onerror=prompt('@alvarodh5')>



XSS Stored en Cuenta VIP:

Partiendo de la primera vulnerabilidad, accedemos a Cuenta Vip 0€ donde nos informa de nuestro saldo acumulado, y como nos indica nuestro nombre, es vulnerable:

Payload: <h1>@alvarodh5</h1>


XSS Reflejado en el buscador:


XSS Stored en los comentarios:

En los comentarios, se muestra el nombre de la persona (obvio), pues si modificamos nuestro nombre desde la misma página que antes, tendremos nuestro querido XSS Stored ^^



Por desgracia, no puedo reportar la open redirect, pues aún no la han fixeado, de todas formas, si que que puedo poner esta imagen ya que no desvelo nada xD



Por cierto, por si a alguien le han entrado ganas, ahora el dominio lo han modificado por este: No tienes permisos para ver links. Registrate o Entra con tu cuenta, y solo pueden acceder los que tengan acceso a tuenti móvil.
« Última modificación: Febrero 16, 2015, 06:26:46 pm por blackdrake »



Desconectado Expermicid

  • *
  • Underc0der
  • Mensajes: 457
  • Actividad:
    0%
  • Reputación 0
  • _-Expermicid-_
    • Ver Perfil
  • Skype: expermicid.xd
« Respuesta #1 en: Febrero 16, 2015, 09:20:04 pm »
Buenisimo blackdrake!!!

Saludos

Desconectado WhiZ

  • *
  • Underc0der
  • Mensajes: 395
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Febrero 17, 2015, 04:39:39 am »
Grande Black! Todo un ejemplo a seguir, tanto en lo que respecta al conocimiento así como a la postura adoptada frente a esta situación.

Felicitaciones! HoF 100% merecido!

Saludos!
WhiZ


 

¿Te gustó el post? COMPARTILO!