Anectoda [XSS web Kevin Mitnick by JKS&0verflow]

Publicado el 21/10/2011 12:10:00 en Hacking Web. Total de votos: 8  Votar



Hola a todos, antes de nada decir que por culpa de este teclado no puedo acentuar.

Bueno hoy revisando mis privados de twitter vi una vieja conversacion de Julio con kevin Mitnick de cuando le reportara un HTMLi en su web, encontrado por JKS un dia que nos propusimos ownear alguien 'importante' o algo asi xD.

Bueno os voy a contar un poco cmo fue la historia:

Contactamos con su empresa con el formulario de contacto pero como no nos contestaron pues mencione a Mitnick en un tweet, advirtiendole de la existencia de dicho fallo.

Entonces mantuvimos esta conversacion por privado, y le envie el reporte del fallo en un paste:





EL contenido del paste donde reportaba la vulnerabilidad es este:

In the contact form (https://mitnicksecurity.com/contact.php) on the textbox email is not filtered  some html tags in textbox; something like ""> <marquee> <h1> Bug by 0&J </ h1 > hh </ marquee> "if you clik on submit (no need to type the captcha) that content isn't filtered and is executed. This is the code wiewed on the sorce code after submit.
 "<td valign="bottom" nowrap><input type="Text" name="strEmail" size="41" maxlength="50" ID="Text10" value="\"><marquee><h1>Bug by 0&J</h1>hh</marquee>">"

Image form the bug:

https://img833.imageshack.us/img833/9376/mitnick.png

 If some content untroduce java or a XSS payload jumps that kind of " WAF " provided by the host, and makes it more difficult to exploit but it is better to have it fixed. I think i can exploit it with a simple php code.

The bug isn't critical xD, but is better fix it

And one more thing I can't exploit yet: I think  you can dos your wbe with a  a self-DOS or DOS launched from google, but still I have to look further.

I'm trying found something more :P.

Tath's all. 

Greets, JKS&0verflow

Sorry by my english :(




Como leisteis en la imagenes nos pidio nuestras direcciones para enviarnos su nuevo libro como muestra de agradecimiento.... No lo hizo xD

EDIT



Como MuldeR me dijo, le recordé el asuntillo del libro, esto es lo que me dijo:



Bueno, esto es todo!

Saludos! Y saludos especiales a JKS que no me quiere.

Comments:


[x][x][x] ca0s dijo: Vaya inglés guarro que tenéis XD


[x][x][x] JKSS dijo: jajajaja, si te quiero <3 :$


[x][x][x] 0verflow dijo: ca0s que te jodan, no soy tan anglo como tu xD


[x][x][x] Alverid dijo: jaja un maybe i´ll send you.. serviria mas XD los timaron :P


[x][x][x] n4ch0m4n dijo: +1 para 0verflow, -1 a Mitnick por no mandarte el libro!


[x][x][x] SH4V dijo: LOL!

+1 ca0s, menudo inglés más chapucero. Está bastante mal redactado. Para un nativo sería difícil de entender.

0verflow y JKS: ¿un código PHP para explotar el XSS? no lo entiendo. Un código JS lo haría todo y si el WAF filtra, pues se ofusca el código y a correr! =P

Menudo gilipollas es este tío. No por tener un XSS en su web, que un despiste lo puede tener cualquiera, si no por responder con esa altanería y chulería diciendo lo del libro.

+1 chicos! quitando el inglés chapucero está genial =)


[x][x][x] 0verflow dijo: Jajajaja que putos sois enserio... Hago lo que puedo con mi ingles, si pudiese escribir mejor no dudeis en que lo haria... sh4v, eres profesor de ingles yo creo y se nota jajjaja


[x][x][x] Aeon dijo: hahaha buenisimo :3 +1 era un bot xD :P, yo sé que usó google translate... xD


[x][x][x] 0verflow dijo: Aeon, no use el google translate, tengo mal ingles pero bueno creo que se nota que lo escribi yo jajaj


[x][x][x] MAZTOR dijo: XD +1 y si Mitnick enviaba el libro... como lo leerias XD? muy bonito :)


[x][x][x] 0verflow dijo: Sois unos putos, el ingles lo entiendo pero no tengo vocabulario xD


[x][x][x] Aeon dijo: haha disculpa la spammeada xD, pero @MAZTOR se lleva un +10 xD hahahahahaha :P tien razón :P no te creas xD :P


[x][x][x] 0verflow dijo: Bah que os jodan sois imposibles, disculpad por no ser un filologo pero soy de ciencias...


[x][x][x] DUFF dijo: Su web ha sido hackeada como 10 veces jeje se pasa


[x][x][x] henryxd dijo: Jajaja creo q soy un nativo y no entiendo muy bien tu ingles jaja xD


[x][x][x] MuldeR dijo: muy buen post, +1

propongo que le recuerdes a mitnik lo del libro a ver que dice xD


[x][x][x] 0verflow dijo: MuldeR buena idea, lo voy a hacer ahora mismo. Os mantendré informados xD


[x][x][x] MAZTOR dijo: Yeah, tambien dile que se pase por DDLr XD y nos regale libros a todos jejeje eaea XD!


[x][x][x] MAZTOR dijo: ahh y por ultimo que nos ponga a trabajar XD!


[x][x][x] 0verflow dijo: Mitnick me contestó xD para los curiosos aqui la PIC

http://img849.imageshack.us/img849/5421/mitnick2.png


[x][x][x] h4x0r dijo: sera que Overflow si cumple porque lo que veo no cumple ni años.


[x][x][x] h4x0r dijo: -1


[x][x][x] MuldeR dijo: Lástima que se perdieron las imagenes :(



Para dejar un comentario Register o Login