PortalÍndiceCalendarioFAQRegistrarseConectarse

Comparte | 
 

 Cross-Site-Scripting con código Morse

Ver el tema anterior Ver el tema siguiente Ir abajo 
AutorMensaje
Shadow
Administrador
Administrador


Cantidad de envíos : 408
Edad : 31
Ubicación : Gualeguaychu
Fecha de inscripción : 10/04/2008

MensajeTema: Cross-Site-Scripting con código Morse   Dom Mayo 18, 2008 4:56 pm

Haaa mi viejo y querido codigo morse hoy utiliszado para dañar seriamente ¬¬
(este codigo me trae a la mente muchos recuerdos y trabesuras de cuando era chico...desde mi Shadow Box hasta todo lo q pude hacer con ella...fue y sera mi netcat fisico...un circuito q mas que esto era una nabaja suisa...pronto lo voy a estar posteando asi todos pueden tener la sulla en sus casa Razz...regreso al tema de los Cross)

Hoy en día, ¿quién entiende Di-Di-Di-Da-Da-Da-Di-Di-Dit (SOS, salvar nuestra alma)? Pocas personas lo harán, pero su navegador web sólo podría hacerlo. En su blog, el experto en seguridad Nathan McFeters ha informado el descubrimiento de un cross-site scripting (XSS), la vulnerabilidad a un sitio web italiano que permite a los atacantes inyectar código JavaScript en código Morse en la barra de direcciones.

El sitio en cuestión toma la entrada del usuario en código Morse y lo traduce a texto plano usando un script en PHP. Por desgracia, los programadores se olvidaron de validar la entrada y salida, lo que permite la posibilidad de incluír y ejecutar código JavaScript en el sitio web, mostrando los resultados de la traducción del código Morse.

Esta vulnerabilidad demuestra que los desarrolladores de aplicaciones Web que aparentemente son inofensivas, y que nunca fueron destinados a ser utilizados como serias herramientas, deben ser tan cuidadoso como los programadores de aplicaciones locales en lo que respecta a la validación de entradas del usuario. En este caso, basta con comprobar la entrada con la función html-entities(), para convertir la salida del script en código HTML inofensivo. Para más consejos sobre la manera de garantizar su propia web de aplicaciones, consulte el artículo de Heise Security titulado Servidor de la paz - Medidas de seguridad para aplicaciones PHP.

_________________
Un jugador que hace un buen equipo es mucho mejor que un gran jugador.
Perdiéndose en el grupo por el bien de todos…Eso es trabajo en equipo...
Recoger datos es solo el primer paso a la sabiduría pero…
Compartir datos es el primer paso hacia la comunidad.
Amplificación del conocimiento, lo que aprende uno, lo prendemos todos
Una pequeña persona puede resolver un problema muy complejo…Todo esta en la sincronización
Volver arriba Ir abajo
Ver perfil de usuario http://www.fotolog.com/shadowsecurity
XR00TX_H4CK17
FSB 166mhz
FSB 166mhz


Cantidad de envíos : 10
Edad : 25
Ubicación : C05T4 R1C4
Fecha de inscripción : 20/06/2008

MensajeTema: Re: Cross-Site-Scripting con código Morse   Sáb Jun 21, 2008 2:20 am

SIP ASi es pero el BUG de XSS(Cross Site scripting) ahora es muy comun en muchas webs debido a la mala configuraciòn y conocimiento del webmaster al crear la pagina web o foro habilitando modulos q no son necesarios por ejemplo en los foros de .php es muy comun ver las inyecciones sql aprovechandose del modulo search= q no es tan importante pero ese bug solo en versiones viejas.

Ok sip el Croos Site scripting mas q todo se da a una mala configuracion de la web q es aprovechada por hackers
para inyectar scripts o inyecciones HTML en dicha pagina,mas q todo es un error en el buscador/o el browser donde esta alojada
la web y no en el servidor.


Basta con buscar una web basada en .php o html y poner este code para comprbar si es vulnerable o no:

Código:
<script>alert('XSS')</script>
eso hiria despues de la URL de la web y si sale algo como esto:





Código:

 ________________________________________
/  http://127.0.0.1 dit:                                    X    \
|________________________________________|
|                                                                                |
|                                                                                |
|          ^                                                                  |
|        /  \                                                                  |
|        / | \          XSS                                                |
|      /  .    \                                                              |
|    ----------                                                              |
|                      ______                                            |
|                      |_OK_|                                            |
|                                                                                |
|________________________________________|




Algo asi como eso nos saldra una message box eso quiere decir q si es vulnerable igual podemos hacer algo asi:

Código:
<script>alert('HOLA')</script>
cAMbiamos donde decia ('XSS') y pusimos hola y en la message box
nos saldra ahora HOLA cmo mensaje y no XSS.

Otra cosa de esto con el XSS nose puede decir q ya defaceamos una web ya que defacear una web es cambiando el index y modificando
al 100% la web a cmo era antes y apropiandonos de ella eso si es un deface ya que con este bug nose puede hacer un cambio de index
a menos q consigan hacerle un bypass a la web y asi hacerlo pero eso ya es otro tema jeje.


S4ludos....
Volver arriba Ir abajo
Ver perfil de usuario
Shadow
Administrador
Administrador


Cantidad de envíos : 408
Edad : 31
Ubicación : Gualeguaychu
Fecha de inscripción : 10/04/2008

MensajeTema: Re: Cross-Site-Scripting con código Morse   Sáb Jun 28, 2008 3:00 pm

Como dije anteriormente estoy muy contento con esta secion porq se a sumado gente q no viene con un ideal Hiper Lammer. Me presento por si no me conecias Soy Shadow (angel) y estudio analista de sistema y programados ( y espero dsp seguir la licenciatura) y, ademas por el momento me preparo para obtener el certificado CISSP.... y dsp poder llegar a la propia certificacion CISSP de la ISC2..... realmente quiero hacer de esto mi vida.... espeor verte algun dia en la DEFCON


Saludos!!!

PD: me gusto el avatar....

_________________
Un jugador que hace un buen equipo es mucho mejor que un gran jugador.
Perdiéndose en el grupo por el bien de todos…Eso es trabajo en equipo...
Recoger datos es solo el primer paso a la sabiduría pero…
Compartir datos es el primer paso hacia la comunidad.
Amplificación del conocimiento, lo que aprende uno, lo prendemos todos
Una pequeña persona puede resolver un problema muy complejo…Todo esta en la sincronización
Volver arriba Ir abajo
Ver perfil de usuario http://www.fotolog.com/shadowsecurity
XR00TX_H4CK17
FSB 166mhz
FSB 166mhz


Cantidad de envíos : 10
Edad : 25
Ubicación : C05T4 R1C4
Fecha de inscripción : 20/06/2008

MensajeTema: Re: Cross-Site-Scripting con código Morse   Lun Jun 30, 2008 5:50 pm

jeje men sip para q veas q aveces de cosas malas tiene q salir algo bueno y q aqui tambien habemos unos q sabemos asi cmo tu =



S4LUDO5....

PD: q BUENO q te haya gustado el avatar jeje
Volver arriba Ir abajo
Ver perfil de usuario
Shadow
Administrador
Administrador


Cantidad de envíos : 408
Edad : 31
Ubicación : Gualeguaychu
Fecha de inscripción : 10/04/2008

MensajeTema: Re: Cross-Site-Scripting con código Morse   Mar Jul 01, 2008 2:25 pm

ayer pase 3 oras intentando rebentar la seguridad de una pagina para obtener el material de hack q poseian, es de una comunidadcomo taringa pero de espertos en seguridad y me pedia dedicarle mucho tiempo para lograr acceder a los libos y material... asi q bueh.... asi era mas facil obtenerlos, durante las 6 horas q estube conectado a esta rebolviendo el disco descargue 1gb de libros y herraminetas XD....... en las vacaciones espero hacerme un tiempo para organizarlas y subirlas a la red asi todos las puden usar XD


Saludos!!!

PD: no hackeo paginas.... (solo tumbo servidores jajajaja (broma)) esto fue solo porq me daba paja esperar... lo q si la verdad confieso q me re ubiera gustado dejar ese gif q vos tenes q dise HACKED.... mmm m pero viste lo q se dice hay q tener a tus amigos cerca y a tus enenmigos aun mas cerca asiq emmmm mejor me hago el sota y sigo con ellos.... ademas para ser sinsero creo q si se enojaban (q seguro q si9 entre todos seguro me dan masa jajajajjajajaja.

_________________
Un jugador que hace un buen equipo es mucho mejor que un gran jugador.
Perdiéndose en el grupo por el bien de todos…Eso es trabajo en equipo...
Recoger datos es solo el primer paso a la sabiduría pero…
Compartir datos es el primer paso hacia la comunidad.
Amplificación del conocimiento, lo que aprende uno, lo prendemos todos
Una pequeña persona puede resolver un problema muy complejo…Todo esta en la sincronización
Volver arriba Ir abajo
Ver perfil de usuario http://www.fotolog.com/shadowsecurity
Contenido patrocinado




MensajeTema: Re: Cross-Site-Scripting con código Morse   Hoy a las 10:06 pm

Volver arriba Ir abajo
 
Cross-Site-Scripting con código Morse
Ver el tema anterior Ver el tema siguiente Volver arriba 
Página 1 de 1.
 Temas similares
-
» PISTAS CROSS COUNTRY
» con respecto a lo del cross country
» PRIMER FECHA CROSS OUNTRY
» no correr el cross country
» el Código Motero no escrito

Permisos de este foro:No puedes responder a temas en este foro.
BrokeN ShadoW Foro Informático :: Seguridad Informática :: Seguridad Informática :: Amenazas-
Cambiar a: