[XSS] http://espinillo.org

Pytness · Septiembre 08, 2016, 09:26:02 PM

Imagen:

Url: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta - (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) - foro=(1-30)
Vector: '<h1 style="color: #ff001b">Underc0de</h1>' *
Autor: Pytness
Reportado: Si**

* Detecta varias palabras, tales como 'script', 'alert', 'write', 'getElementById'... Validacion Back-End, muestra una alerta de error.
-* Añadiendo una imagen con un src nulo y un onerror podemos cargar un script.

** Lo reporte hace meses y añadieron un 'filtro' de palabras (*). Lo he vuelto a reportar.

blackdrake · Septiembre 10, 2016, 06:54:33 AM

Ese "foro" es un coladero, no estuve ni 2 minutos dentro y encontré 2 XSS (diferentes a los tuyos) y 1 SQLi.

Un saludo.

Vasyl · Septiembre 11, 2016, 04:02:20 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Ese "foro" es un coladero, no estuve ni 2 minutos dentro y encontré 2 XSS (diferentes a los tuyos) y 1 SQLi.

Un saludo.

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta En el mismo enlace tiene sqli XD

Pytness · Septiembre 11, 2016, 06:04:52 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este de aqui tiene contraseña, creo que la pass no esta en la base de datos.

Pytness · Septiembre 11, 2016, 06:06:17 PM

Estuve mirando en la BD mediante Blind SQLi y pude averiguar que guardan almenos los nombres de los foros :/

[XSS] http://espinillo.org

Pytness

Septiembre 08, 2016, 09:26:02 PM Ultima modificación: Septiembre 09, 2016, 06:04:37 PM por Pytness

blackdrake

Septiembre 10, 2016, 06:54:33 AM #1

Vasyl

Septiembre 11, 2016, 04:02:20 PM #2

Pytness

Septiembre 11, 2016, 06:04:52 PM #3

Pytness

Septiembre 11, 2016, 06:06:17 PM #4