27th
ENE
XSS en CreaTuForo
Publicado por ElPerro | Archivado en Seguridad, Vulnes, rants
Un Security Advisory de la mano de Andrés Contreras Guillen quien ya nos había enviado un muy buen material de aporte al blog. Esta vez, vamos con algo del mundo underground, un poquito de Hax00r Activities para arrancar el día.

Qué es Un XSS?
Segun la Wikipedia [que esta en lo cierto]
Su nombre original “Cross Site Scripting”, y renombrado XSS para que no sea confundido con las CSS, (hojas de estilo en cascada), originalmente abarcaba cualquier ataque que permitiera ejecutar código de “scripting”, como VBScript o JavaScript, en el contexto de otro dominio.Recientemente se acostumbra a llamar a los ataques de XSS “HTML Injection”, sin embargo el término correcto es XSS. Estos errores se pueden encontrar en cualquier aplicación HTML, no se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador web en sí. El problema está en que normalmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Esta vulnerabilidad puede estar presente de forma directa (también llamada persistente) o indirecta (también llamada reflejada). Cada una se trata de forma diferente.
Directa: este tipo de XSS es el que normalmente es censurado; así que es muy poco común que puedas usar tags como < script > o < iframe >
Indirecta: esta es un tipo de vulnerabilidad muy común y muy poco explotada. Consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones.
Bug en Crea Tu Foro:
Se encuentra en el apartado de recomendar web ya que como ven al ejecutar el script alert muestra en poup con XSS como texto.
A esta vulnerabilidad se le puede sacar las cokies de el Panel de Administrador de la web y desfigurar el sitio completo o de algún usuario en particular.
Aviso del Bug Para ElPlog By Andres Contreras Guillen
Responder
Opciones del post
-
enero 27, 2009 -
Seguridad, Vulnes, rants -
Sin comentarios
-
Feed de comentarios -
Del.ico.us
-
Digg This
-
Twitter
-
Facebook
Archives
- septiembre 2010
- agosto 2010
- julio 2010
- junio 2010
- mayo 2010
- abril 2010
- marzo 2010
- febrero 2010
- enero 2010
- diciembre 2009
- noviembre 2009
- octubre 2009
- septiembre 2009
- agosto 2009
- julio 2009
- junio 2009
- mayo 2009
- abril 2009
- marzo 2009
- febrero 2009
- enero 2009
- diciembre 2008
- noviembre 2008
- octubre 2008
- septiembre 2008
- agosto 2008
- julio 2008
- junio 2008
- mayo 2008
- abril 2008
- marzo 2008
- febrero 2008
- enero 2008
- diciembre 2007
- noviembre 2007
- octubre 2007
- Correo Hotmail
- Fan Número 1
- Implantes Dentales
- Juegos Gratis
- Mensajes Movilnet
- Música Pop
- Rojadirecta
- Seguros Coche
- SerCurioso
- Vestidos de 15 años
- Videos de Terror
- Videos Divertidos
- Videos en YouTube
- Videos Musicales
- Youtube musica











