(http://i47.tinypic.com/i3yql3.jpg)
La variable vulnerable es username, pasada por POST, posteriormente si se siguen las cabeceras se puede obtener el link con la inyección ya hecha, sin necesidad de pasar otra vez los parámetros.
Ya ha sido reportada :)
Buen trabajo, despues contanos que te responden y si te dan recompensa.
bien echo, Super me gustaria aprender aun mas xss pero aun soy novato....
Saludos
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Buen trabajo, despues contanos que te responden y si te dan recompensa.
No he mirado si lo han fixeado o no, pero de momento ni las gracias xD. Si responden o dan recompensa lo diré :).
Bonito bug para el bug reporter que estamos armando!
Excelente trabajo!
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Buen trabajo, despues contanos que te responden y si te dan recompensa.
No he mirado si lo han fixeado o no, pero de momento ni las gracias xD. Si responden o dan recompensa lo diré :).
Yo a Avira intenté reportarle 2 XSS y me dijeron que para usar el soporte tengo que tener licencia, LOL.
Buena actitud! Si eso lo hubiera encontrado un lammer ya estaría tatuado en su espalda y por todos los foros jaja
Saludos,, Cronos.-
Los de avast ya han respondido, cito el mensaje:
CitarHello,
thank you very much for this report. If this is true we shout hang them, isn't it?
Have a nice day.
Best regards,
Avast Software a.s. 2nd level support team
Was this answer helpful? To leave your feedback, please click here:
https://www.surveymonkey.com/s/QFLGDGF
Ticket Details
===================
Ticket ID: UGM-739057
Department: 2nd Level Tech Supp
Priority: Default
Status: On Hold
La parte de "we shout hang them", no me ha quedado muy clara xD, pero bueno, las gracias son de agradecer valga la redundancia :)