This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

[XSS] Tuenti.com

  • 2 Replies
  • 3251 Views

0 Members and 1 Guest are viewing this topic.

Online blackdrake

  • *
  • Co Admin
  • Posts: 2013
  • Actividad:
    20%
  • Country: es
  • Reputación 23
    • View Profile

[XSS] Tuenti.com

  • on: February 16, 2015, 06:21:29 pm
Bueno, puesto a que ya arreglaron todos los fallos ya puedo publicarlo, sin más, os dejo todos los detalles de las vulnerabilidades:

Url afectada: You are not allowed to view links. Register or Login (Antes era .com, lo cambiarian por mi? Quien sabe xDD)
Hall of fame: You are not allowed to view links. Register or Login (@alvarodh5 Álvaro Díaz)

XSS Stored en el apartado Mis Datos:

Básicamente, consiste en cambiar los datos de cuenta por un payload como este:

Payload: "><img src=x onerror=prompt('@alvarodh5')>



XSS Stored en Cuenta VIP:

Partiendo de la primera vulnerabilidad, accedemos a Cuenta Vip 0€ donde nos informa de nuestro saldo acumulado, y como nos indica nuestro nombre, es vulnerable:

Payload: <h1>@alvarodh5</h1>


XSS Reflejado en el buscador:


XSS Stored en los comentarios:

En los comentarios, se muestra el nombre de la persona (obvio), pues si modificamos nuestro nombre desde la misma página que antes, tendremos nuestro querido XSS Stored ^^



Por desgracia, no puedo reportar la open redirect, pues aún no la han fixeado, de todas formas, si que que puedo poner esta imagen ya que no desvelo nada xD



Por cierto, por si a alguien le han entrado ganas, ahora el dominio lo han modificado por este: You are not allowed to view links. Register or Login, y solo pueden acceder los que tengan acceso a tuenti móvil.
« Last Edit: February 16, 2015, 06:26:46 pm by blackdrake »


Offline Expermicid

  • *
  • Ex-Staff
  • *****
  • Posts: 457
  • Actividad:
    0%
  • Reputación 0
  • _-Expermicid-_
    • View Profile

Re:[XSS] Tuenti.com

  • on: February 16, 2015, 09:20:04 pm
Buenisimo blackdrake!!!

Saludos

Offline WhiZ

  • *
  • Ex-Staff
  • *****
  • Posts: 395
  • Actividad:
    0%
  • Reputación 0
    • View Profile

Re:[XSS] Tuenti.com

  • on: February 17, 2015, 04:39:39 am
Grande Black! Todo un ejemplo a seguir, tanto en lo que respecta al conocimiento así como a la postura adoptada frente a esta situación.

Felicitaciones! HoF 100% merecido!

Saludos!
WhiZ