XSS persistente en Taringa.net

Páginas: [1]

Autor

Tema: XSS persistente en Taringa.net (Leído 1554 veces)

patolin

Principiantes

Desconectado

Mensajes: 31

XSS persistente en Taringa.net

« en: Julio 13, 2010, 22:31:56 »

Buenas, estoy contento hoy, despues de un día de mierda en el laburo, llego cagado de frio a casa y entro en Taringa como acostumbro, veo una nueva funcionalidad que agregaron, la cual ya estaba enterado ya que me hablo mucho con uno de los programadores, en fin, se les ha escapado un input por depurar, permitiendo hacer XSS persistente en el modulo de agregar post, en el input de tags.

Ya es el 5to XSS que logro encontrar en el sitio, todos reportados, claro está, les dejo una imagen adjunta:

[clic en la imagen para ver completo]

Ya con un comapñero probamos una manera de explotarlo, la cual sería cambiandole el ID del borrador por uno existente, sobreescribiendolo con este XSS, y bueno, poniendole una peticion por ajax se lograría robar tranquilamente cookies y la famosa "key" de sesión de Taringa, pero en fin, no hubo resultado positivo para algo peligroso o que comprometa datos de usuarios a un nivel mayor que de 1.

Saludos ^^


	En línea

aron_marcos

HdL Beta

Desconectado

Mensajes: 653

Re: XSS persistente en Taringa.net

« Respuesta #1 en: Julio 14, 2010, 18:49:47 »

buen aporte patolin ayudando a mejorar la seguridad de esa web q tanto me da XD

salu2


	En línea

[u]nsigned

Super Usuario

Desconectado

Mensajes: 341

Download profile...

Re: XSS persistente en Taringa.net

« Respuesta #2 en: Julio 16, 2010, 00:43:47 »

Por mi habria que destruir taringa, la pirateria no ayuda a nadie...es una forma camuflada de dependencia...hace unos dias tambien un argentino le encontro un XSS bastante grave a thepiratebay..otro site que desprecio xD

Saludos


	En línea

No me interesa romper ventanas, me interesa criar pingüinos

aron_marcos

HdL Beta

Desconectado

Mensajes: 653

Re: XSS persistente en Taringa.net

« Respuesta #3 en: Julio 16, 2010, 08:23:57 »

te fuiste de manbo chabon esta vez.

se porq opinas asi y en parte comparto tu opinion pero no en todo el sentido.

salu2


	En línea

patolin

Principiantes

Desconectado

Mensajes: 31

Re: XSS persistente en Taringa.net

« Respuesta #4 en: Julio 17, 2010, 05:07:55 »

Cita de: [u]nsigned en Julio 16, 2010, 00:43:47

Yo solo visito las comunidades

he conocido gente de mis gustos a lo pavote, y estoy aprendiendo muchisimo de ellos, en cierta parte también pienso igual pero no tanto sobre la piratería, pero bueno...


	En línea

snf

Administrator

Desconectado

Mensajes: 692

Re: XSS persistente en Taringa.net

« Respuesta #5 en: Julio 17, 2010, 17:44:32 »

Te felicito por descubrirlo.
Un XSS ya no se trata de proteger (directamente) una web, se trata de los usuarios.
Se comenta que este ano en la ekoparty va a haber algo sobre "XSS to R00t", o no confu? :p


	En línea

Posts "interesantes"
================
Que es una shellcode?
Bad chars y encoders/decoders en payloads

El tiempo es un gran profesor, pero lamentablemente mata a todos sus alumnos.

djtuxy

Principiantes

Desconectado

Mensajes: 124

Re: XSS persistente en Taringa.net

« Respuesta #6 en: Julio 18, 2010, 14:34:10 »

Bien ahí pato!,

jaja confused NS/NC = Nosabe No contesta xD

saludos


	En línea

www.area403.com.ar <---------- Nuevo diseño , MAs innovador!! Mas contenidoo!! nuevos ADMS!!