[XSS] http://espinillo.org

Imagen:


Url: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login - (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) - foro=(1-30)
Vector: '<h1 style="color: #ff001b">Underc0de</h1>' *
Autor: Pytness
Reportado: Si**

* Detecta varias palabras, tales como 'script', 'alert', 'write', 'getElementById'... Validacion Back-End, muestra una alerta de error.
-* Añadiendo una imagen con un src nulo y un onerror podemos cargar un script.

** Lo reporte hace meses y añadieron un 'filtro' de palabras (*). Lo he vuelto a reportar.

Ese "foro" es un coladero, no estuve ni 2 minutos dentro y encontré 2 XSS (diferentes a los tuyos) y 1 SQLi.

Un saludo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Ese "foro" es un coladero, no estuve ni 2 minutos dentro y encontré 2 XSS (diferentes a los tuyos) y 1 SQLi.

Un saludo.

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login En el mismo enlace tiene sqli XD

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este de aqui tiene contraseña, creo que la pass no esta en la base de datos.

Estuve mirando en la BD mediante Blind SQLi y pude averiguar que guardan almenos los nombres de los foros :/