Archivo de la etiqueta: XSS

Vulnerabilidad Cross Site Scripting en www.supersociedades.gov.co by @R4z0r_Bl4ck

PUES BIEN, CHEQUEANDO ALGUNOS SITIOS DEL GOBIERNO COLOMBIANO ME HE ENCONTRADO CON UN ERROR O VULNERABILIDAD DE CROSS SITE SCRIPTING (XSS) EN EL SITIO WEB http://www.supersociedades.gov.co .

(IMAGEN DE MUESTRA)

xssensupersociedades

_______________

BASTA CON ENTRAR EN LA WEB Y EJECUTAR EL CODIGO JAVASCRIPT alert(“XSS by R4z0r Bl4ck”) EN EL BUSCADOR PARA GENERAR EL MENSAJE DE ALERTA, NO PERMITE EL INGRESO DE COMILLAS SENCILLAS, POR TANTO NO GENERARIA LA ALERTA, TAMBIEN SE PUEDE EJECUTAR CODIGO HTML.

NOTA: EL MENSAJE DE ALERTA DE JAVASCRIPT NO APARECERA SI TU NAVEGADOR ES GOOGLE CHROME, POR TANTO PARA PODER VERLO SE TENDRIA QUE EJECUTAR EN MOZILLA FIREFOX. EL CODIGO HTML EN CUALQUIER NAVEGADOR.

XSS Found! In ESET NOD 32 ( site)

SIGUIENDO CON LAS NOTICIAS Y A SU VES CON LOS ERRORES DE XSS ESTA VES EL PENTESTER ‘DYLAN IRZI’ HA PUBLICADO EN LAS REDES SOCIALES Y EN SU BLOG UNA IMAGEN DONDE APARECE UN ALERT SCRIPT EN EL SITIO WEB DE ESET NOD 32 AL PARECER EL HACKER A ENCONTRADO NUEVAMENTE UN BUG ESTA VES SE TRATA DE UN XSS REFLEJADO.

xsseneset

AL PARECER NO ES LA PRIMERA VES QUE ENCUENTRA UN ERROR EN SU SITIO WEB, SOLO ESPERAMOS QUE CON ESTO LOS ADMINISTRADORES LOGREN CORREGIR SU CODIGO APLICANDO LAS RESPECTIVAS TECNICAS DE INTRUSION O BIEN PODRIAN CONTRATAR AL MISMO HACKER QUE HA PUESTO EN BURLA LA ‘SEGURIDAD’ EN WEB.

SALUDOS -DYLAN IRZI-

XSS Reflected found in Twitter by Caleb Bucker

AYER NAVEGANDO POR LA INTERNET Y MIRANDO LAS ACTUALIZACIONES DE ESTADO EN FACEBOOK ME ENCUENTRO CON UNA PUBLICACION HECHA POR /CALEB BUCKER/ DONDE NOS ENSEÑA SU DESCUBRIMIENTO DE UN XSS EN LA RED SOCIAL ‘TWITTER’

xssentwitter

SI BIEN SABEMOS, LOS ERRORES XSS NO SON TAN INOFENSIVOS TODAS LAS VECES, SE PUEDE LOGRAR UNA SIMPLE INYECCION DE CODIGO HTML, O CODIGO JAVASCRIPT PERMITIENDO AL ATACANTE LOGRAR DESDE UN SIMPLE MENSAJE DE ALERTA HASTA UN ROBO DE COOKIE, O BIEN HASTA UNA WEBSHELL EN SU SERVIDOR, PERO AL PARECER ESTE BUG CONSISTE EN UN XSS REFLEJADO EL CUAL SOLO SE PODRA OBSERVAR SI SE TIENE EL LINK O URL INYECTADO.

EN LA DESCRIPCION DE LA IMAGEN PUBLICADA POR EL PENTESTER APARECE:

XSS Reflected found in Twitter!

Vector: Double Encoding

Status: Reported!

AL PARECER EL BUG YA FUE REPORTADO AL EQUIPO DE TWITTER, SOLO ESPERAMOS QUE CORRIGAN EL ERROR Y QUE REVISEN EL RESTO DEL CODIGO DE LA APLICACION PARA EVITAR FUTUROS ATAQUES.

SALUDOS – /CALEB BUCKER/ –

Mega aparece con errores Stored XSS – by ‏@z0mbiehunt3r

Hace segundos que aparecio el nuevo Megaupload ahora bajo el nombre de Mega 🙂 todo mundo loco por crear sus cuentas subir archivos, subir sus nopors y demas, pero mientras algunos andan en ello otros compañeros de la red se la pasan jugando y viendo la seguridad de Mega 😀 touche! si ya apareció una vulnerabilidad un xss Stored como lo ven en la siguiente imagen.

 

#mega stored #XSS …. is there any vulnerability reward program? 😛pic.twitter.com/FbREcvbR
 
Imagen
 
 
30 minutos aproximadamente para que Alejandro Nolla salga con este regalo :3
 

Para tener un poco de conocimiento de  este tipo de XSS el cual es persistente basado en un no persistente, la diferencia que hay entre ambos y la que hace a este tipo de XSS mas peligroso es que se almacena en la aplicación.
 
Pero vamos a un ejemplo medianamente explicado 😛 sin criticar que ando aun mal…
 
Se tiene el vector y se escribe en algun lugar de la web en este caso me imagino que lo hizo en la creación de algun Folder 😛 o al menos mi cabeza me saca esa idea, pero esto se puede hacer en comentarios, donde nos permitan hacerlo.
 
La victima accede a la aplicación web. El codigo malicioso se ejecuta en el navegador del usuario. 😀 y listo tenemos victima caliente..