Reto XSS [muy fácil]

Mr_Pack · Febrero 23, 2013, 07:44:25 PM

hace rato que no visitaba el foro y bueno me anime a algunos wargames

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

salu2

Jonax · Abril 07, 2013, 04:54:10 PM

Muy facil

Saludos de Jonax

StuXn3t · Abril 27, 2013, 04:41:33 AM

Muy bueno el reto, en especial para los que empiezan en este mundo...

Saludos!!

S t Ø r M d ∆ r k · Abril 27, 2013, 05:27:56 PM

/home/n1k0n/ · Abril 27, 2013, 10:22:49 PM

Yo lo he intentando... pero soy un paquete con xss, leere mas y seguiremos probando!

Matabarras · Abril 27, 2013, 10:38:53 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Yo lo he intentando... pero soy un paquete con xss, leere mas y seguiremos probando!

Pues con nuestro amigo Live Http headers, y poco más, está echo en un segundo xD.

Miyavi · Abril 27, 2013, 11:47:56 PM

Buenas! Estoy empezando ahora con XSS... pero tengo una dudilla, ya que no sé si lo estoy haciendo correctamente: Pongo el texto en blanco, por si alguien lo lee y no quiere "pistas".

Básicamente, modifico el html del botón con un evento onClick, que ejecuta el javascript. Así es como debe hacerse?

StuXn3t · Abril 28, 2013, 12:51:42 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Yo lo he intentando... pero soy un paquete con xss, leere mas y seguiremos probando!

Una pista, cómo se manda la información para el cambio de color? y cómo puedes manipular eso?

Suerte!!

Forsaken · Abril 28, 2013, 02:15:39 AM

Chevere

/home/n1k0n/ · Abril 28, 2013, 09:29:09 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Yo lo he intentando... pero soy un paquete con xss, leere mas y seguiremos probando!

Una pista, cómo se manda la información para el cambio de color? y cómo puedes manipular eso?

Suerte!!

Buenas! si no lo entiendo mal, se manda por metodo POST, con el content color=xxxx, pero una vez tengo la cabezera modificada, la opcion "Repetir" de http live headers, no hace nada. Osea no vuelve a hacer la peticion al servidor... Seguire probando!

EDITO :

Ya lo tengo! Mi primer xss, me he emocionado y todo!

Podriais hacer mas y mas complejos!

rollth · Julio 05, 2014, 09:07:55 AM

No se si voy bien, he modificado el select por input y puse "><script>alert("XSS")</script>

El script me lo acepta, pero lo de dentro no

blackdrake · Julio 05, 2014, 10:37:22 AM

Miyavi y rollth, editar el HTML en local no cuenta...

Un saludo.

Jimeno · Julio 05, 2014, 10:48:30 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Miyavi y rollth, editar el HTML en local no cuenta...

Un saludo.

LOOOOOOOOOOOOOL jajajajajajajajaja de eso no me di cuenta xDDDDDDDDDDD
Por cierto, este no lo resolví yo :O

Link: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

blackdrake · Julio 05, 2014, 11:49:48 AM

Yo tampoco había puesto mi captura así que la pongo aquí:

En cuanto a Miyavi y rollth, quizás un Control + U os ayude

Un saludo.

Distress · Julio 28, 2014, 12:03:17 AM

Bastante fácil, me gusto eso que se puedan añadir colores personalizados, jajajá: (Click en la foto para agrandar) !

jadcode · Julio 29, 2014, 12:51:42 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No se si voy bien, he modificado el select por input y puse "><script>alert("XSS")</script>

El script me lo acepta, pero lo de dentro no

Tiene la parte fundamental hecha, solo le falta algo muy importante y es, que verificamos cuando tenemos un xss?.

Saludos.

PD: No entiendo porque desde url no sirve, supongo que tendrá que ver la forma del GET/POST de http pero no estoy seguro.

Jimeno · Julio 29, 2014, 01:13:45 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No se si voy bien, he modificado el select por input y puse "><script>alert("XSS")</script>

El script me lo acepta, pero lo de dentro no

Tiene la parte fundamental hecha, solo le falta algo muy importante y es, que verificamos cuando tenemos un xss?.

Saludos.

PD: No entiendo porque desde url no sirve, supongo que tendrá que ver la forma del GET/POST de http pero no estoy seguro.

El método es por POST, si lo estás haciendo de otra forma (editando con Firebug o parecidos) lo estás haciendo mal.

WhiZ · Julio 29, 2014, 01:46:37 PM

Aquí va el mío.

Saludos!
WhiZ

blackdrake · Julio 29, 2014, 02:21:00 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Aquí va el mío.

Saludos!
WhiZ

Lo siento, no has pasado el reto, consistía en poner un alert... No, es broma, me ha gustado mucho tu idea de poner la web de Under y tu nombre en vez de un alert...

WhiZ · Julio 29, 2014, 02:30:53 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Aquí va el mío.

Saludos!
WhiZ

Lo siento, no has pasado el reto, consistía en poner un alert... No, es broma, me ha gustado mucho tu idea de poner la web de Under y tu nombre en vez de un alert...

Jeje hace unos días pensé en proponer algo así como carta de presentación del URS_Team. No estaría mal, no?

Reto XSS [muy fácil]

Febrero 23, 2013, 07:44:25 PM #20

Abril 07, 2013, 04:54:10 PM #21

Abril 27, 2013, 04:41:33 AM #22

Abril 27, 2013, 05:27:56 PM #23

Abril 27, 2013, 10:22:49 PM #24

Abril 27, 2013, 10:38:53 PM #25

Abril 27, 2013, 11:47:56 PM #26

Abril 28, 2013, 12:51:42 AM #27

Abril 28, 2013, 02:15:39 AM #28 Ultima modificación: Abril 28, 2013, 02:17:10 AM por Forsaken

Abril 28, 2013, 09:29:09 AM #29 Ultima modificación: Abril 28, 2013, 04:51:54 PM por /home/n1k0n/

Julio 05, 2014, 09:07:55 AM #30

Julio 05, 2014, 10:37:22 AM #31

Julio 05, 2014, 10:48:30 AM #32

Julio 05, 2014, 11:49:48 AM #33

Julio 28, 2014, 12:03:17 AM #34 Ultima modificación: Agosto 01, 2014, 04:55:47 PM por Distress

Julio 29, 2014, 12:51:42 PM #35

Julio 29, 2014, 01:13:45 PM #36

Julio 29, 2014, 01:46:37 PM #37

Julio 29, 2014, 02:21:00 PM #38

Julio 29, 2014, 02:30:53 PM #39