¡Buenas! Traigo un reto de XSS que estuve preparando en un rato.
Por favor, no utilicen escáneres de vulnerabilidades ya que impedirán que otros usuarios puedan probar el reto (me cancelarán la cuenta en el hosting), además de que no aprenderán y posiblemente su escáner no pueda saltar el filtro.
Quiero aclarar que el filtro no es algo que se deba utilizar en un entorno real, solo está diseñado para este reto.
Pista: el filtro se basa en una black-list ;)
Para pasar el reto habrán de responder a este tema con una captura de pantalla en la que NO se vea el payload y se muestre un ALERT/CONFIRM/PROMPT con su nick en el foro, posteriormente me enviarán el payload por mensaje privado para validarlo.
Link del reto: http://jimenoxsschallenge.hosting-gratiss.com/
Ganadores:
1º - Alexander1712
2º - arthusu
3º - kid_goth (kujo en IRC)
4º - [Q]3rV[0]
5° - hdbreaker
6º - Darkchoto
Saludos.
digo que me llevó un ratito, está interesante como me comentabas el hecho de forzar a que la gente no se acostumbre tanto a los xss comunes o a siempre el mismo payload.
dejo captura y ya le pasé a jimeno como lo hice
https://www.dropbox.com/s/91mmhvnmut2ozon/Captura%20de%20pantalla%202014-06-15%2021.51.14.png (https://www.dropbox.com/s/91mmhvnmut2ozon/Captura%20de%20pantalla%202014-06-15%2021.51.14.png)
salute!
(http://i.imgur.com/qm4jJi2.png)
ahi te envie el payload
(http://a.pomf.se/ssykqj.png)
ya le pase el vector por irc como kujo :)
PD: arthusu :*
(http://i.imgur.com/CpfZKka.png?1)
(http://oi61.tinypic.com/fabes9.jpg)
joder, por mi salud mental, alguien puede dar una pista de este wargame ?
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
joder, por mi salud mental, alguien puede dar una pista de este wargame ?
http://www.w3schools.com/tags/ref_eventattributes.asp echa un ojo a esto y mira lo básico de javascript (variables, operadores, concatenación, etc) y lo resolverán sin problemas.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
joder, por mi salud mental, alguien puede dar una pista de este wargame ?
http://www.w3schools.com/tags/ref_eventattributes.asp echa un ojo a esto y mira lo básico de javascript (variables, operadores, concatenación, etc) y lo resolverán sin problemas.
pero se reemplaza alert y javascript, ahí es donde tengo problemas, no encuentro como ejecutar javascript sin poder meter alguna de esas palabras.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
joder, por mi salud mental, alguien puede dar una pista de este wargame ?
http://www.w3schools.com/tags/ref_eventattributes.asp echa un ojo a esto y mira lo básico de javascript (variables, operadores, concatenación, etc) y lo resolverán sin problemas.
pero se reemplaza alert y javascript, ahí es donde tengo problemas, no encuentro como ejecutar javascript sin poder meter alguna de esas palabras.
Aprende lo básico de javascript y no tendrás problemas para saltar eso y escribir un alert. Ya no te ayudaré más