. Con la tecnología de Blogger.

sábado, 16 de abril de 2011

XSS Policía de Santa Cruz

#REalmente no encuentro la entrada donde habia puesto una captura de imagen de cuando me loguie como admin en el site http://policiasantacruz.gov.ar. pero bueno, no es de mucha importancia.
Sin  muchas mas cosas para decir dejo adjunto las urls donde podemos observar como unoz zombies se apoderaron del sitio.. arre que no xD
Bueno fue

http://policiasantacruz.gov.ar/zoomFoto.php?f=1&c=4-%22%3Ep0rn0%3C/a%3E%3C/td%3E%3Cscript%3Ealert(/asd/)%3C/script%3E



Ovbiamente sale un alert.. y la segunda es mucho menos peor (?) xD
Esta se encuentra en el libro de visitas, obviamente podriamos hacer algo que muchos conocen como "injection HTML" pero que en realidad sigue siendo lo mismo que xss, que solo consta en redireccionar la pagina si se guardan los cambios y esas cosas, pero bueno, la vuln se encuentra en este link

http://policiasantacruz.gov.ar/comentarios.php

donde en todos los campos podemos ejecutar código, algunos con cierta cantidad de caracteres :3
Con este ultimo es as probable que el ataque se lleve a cabo satisfactoriamente, por el hecho de que el comentario queda guardado en un modulo donde el admin hace gestion de los comentarios y al solo tratar de leerlos se ejecutaria el codigo, esto lo se por que ya lo habia probado cuando tube acceso al panel de administracion de la misma
sin mucho mas que decir
fuck you (?)
this is it

Publicado por Darioxhcx en 21:44

Etiquetas: ,

2 comentarios:

Anónimo 18 de mayo de 2011, 10:44  

holla amigos su espacio online es muy hermoso,esto es la tercera vez que vi tu website, buen espacio!
Adios

darioxhcx_sexi 27 de noviembre de 2011, 10:43  

En esta web tambien hay IIS 5.0 si no recuerdo mal, y te deja revisar todos los archivos de la web.

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)