[SOLUCIONADO] desafiar.com.ar [DUDA: Bypassing ANTI-XSS Chrome]

Iniciado por GGZ, Abril 23, 2016, 09:44:42 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 23, 2016, 09:44:42 PM Ultima modificación: Abril 24, 2016, 07:30:13 PM por Gabriela
Buenas,

Hace como un mes encontré un XSS en la página mencionada anteriormente, intenté saltear el filtro Anti XSS de Chrome y pude!
Solamente que ahora lo arreglaron, lo que me lleva a la pregunta de que si ustedes me podrían ayudar a explotarlo.

PoC: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ese era el que funcionaba hace hace poco en Chrome.

Saludos!
Abril 23, 2016, 10:29:00 PM #1
A mi me sigue saltando el alert. :D
RollthBuen hacker mejor You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login/You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Abril 24, 2016, 02:44:56 PM #2
Seguro tenés una versión desactualizada de Chrome entonces.
Abril 24, 2016, 03:18:30 PM #3 Ultima modificación: Abril 24, 2016, 03:22:32 PM por Jimeno
Quien detiene el XSS es el XSS-Auditor de Chrome, ellos no lo han fixeado.
Si ejecutas
Código: bash
google-chrome --disable-xss-auditor
verás que al acceder a la URL salta el alert. Pero por defecto Chrome tiene el XSS-Auditor activo y bloquea la ejecución del JS. Si accedes al código fuente verás que lo resalta y pone algo como "Found Reflected XSS token".

Aquí tienes el reporte original a Chromium para el bypass que utilizaste: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Para la última versión de Chrome no conozco bypass del XSS-Auditor, pero suelen ser bastante jodidos...
Contacto: @migueljimeno96 -
Abril 24, 2016, 03:30:12 PM #4
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Pentest - Hacking & Security Services

Contact me: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Abril 24, 2016, 03:33:01 PM #5
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ese es el del blog de brutelogic :)
Contacto: @migueljimeno96 -
Abril 24, 2016, 03:54:56 PM #6 Ultima modificación: Abril 24, 2016, 03:57:01 PM por str0nasfck
Jajaja, ¡gracias! ahí estaba estaba leyendo alguno de esos, gracias a todos!
Jimeno, ya sé que no arreglaron el XSS me refería a que solucionaron el fallo de Chrome porque antes esa URL tiraba el alert en Chrome después lo arreglaron.
Saludos!
Abril 24, 2016, 08:53:51 PM #7
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ese es el del blog de brutelogic :)
Asi es mi bro! C: y hay un monton mas XD
Pentest - Hacking & Security Services

Contact me: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario