jueves, 29 de marzo de 2007

Vulnerabilidad en el Sotano

Jugando por hay me encontré una vulnerabilidad en el sitio web de La librería el Sotano (www.elsotano.com), y es un XSS.

Ya reporte La vulnerabilidad y espero que no hagan caso omiso, ya que se me ocurren varias cosas o formas en las que alguna persona, con no muy buenas intenciones podría sacarle provecho.

Bueno la vulnerabilidad esta en el buscador y la explicaría pero en realidad no tiene mucha ciencia, pero bueno básicamente lo que me di cuenta es que los primeros 45 caracteres son de relleno aunque cumplen un papel importante, ya que son los que verifican y si sobrepasas esa cantidad puedes insertar código para que se muestre en el sitio.

Si quieren ver la vulnerabilidad en acción hagan click aquí.

Y verán algo como lo sig.



También encontré otra cosa un pongo graciosa(aunque muy lógica) si quieren ver el contenido de toda la base de la tienda solo busquen “%%” y les van a salir chorocientasmil paginas de resultados, XD.



Powered By Vilchis.

1 comentario:

Unknown dijo...

jejeje!!1 te rifaste ehh vilchis, siguiendo tus sugerencias he probado con varios simbolos como $$, @@. **, ~~, --. }}, {{. [[. ]], ((, )), bueno tambien sirve con solo un signo cro que necesitaran algunos arreglos esa pagina jejje, pero bueno ahi si saben de alguna o quieren ayuda pa testear aqui ando

saludos
@ntidoping