Comentario: en cuanto a esta ultima web no entiendo como no puedo acer que ejecute un codigo javascript y si en lenguaje html...?

Código: Seleccionar todo

http://www.canariasbruta.com/?s=search&q=<script>alert(String.fromCharCode(71,114,97,99,105,97,115,33,33))</script>
De nada
Imagen
WEB: [Enlace externo eliminado para invitados] (OFICIAL)

BUG: [Enlace externo eliminado para invitados]

Metodo Utilizado: Gestores HTML

Descubridor: SkillmaX (SafetyLastGroup)

Panel: No buscado



Otros comentarios: es la web oficial de formula 1 de todo el mundo, un saludo.
Web : [Enlace externo eliminado para invitados]

Metodo : Blind Sql

Bug : [Enlace externo eliminado para invitados] ... idnot='440

Panel : [Enlace externo eliminado para invitados]

Notas : Web Crisitiana , defaceada . No subi Shell para no hacer daños en la web , solo ese aviso .

Saludos
Metodo: SQL Inyection

Bug:[Enlace externo eliminado para invitados]

Panel: [Enlace externo eliminado para invitados]

Descubridor: yo

Otros comentarios
: no encuentro la columna de usuario y tengo sueño asi que lo dejo para alguien de por aqui... la password desencriptada es separator
PD: information_shema no está disponible
Imagen
Web : [Enlace externo eliminado para invitados]

Link afectado : [Enlace externo eliminado para invitados]

Tipo de ataque : Injeccion Sql

Panel : [Enlace externo eliminado para invitados]

Descubridor: yeikel

Datos extraidos :

madmink:a61a1add71dadc74037ae5e44ee30713db9a7451:roger (hash mysql 5.x)

Tema de la web : Web caliente
WEB: [Enlace externo eliminado para invitados]

Archivo vulnerable : vista_noti.php

Variable afectada :event

Metodo Utilizado: SQL Injection

Descubridor: yo XD

Panel: No buscado
Imagen
WEB: [Enlace externo eliminado para invitados]

Archivo vulnerable : novedad_detalle.php

Variable afectada :id

Metodo Utilizado: SQL Injection

Descubridor: yo XD

Panel: No buscado

EDIT --
--

WEB: [Enlace externo eliminado para invitados]

Archivo vulnerable : ESHOP/categorias.asp

Variable afectada :cat

Metodo Utilizado: SQL Injection

Descubridor: yo XD

Panel: No buscado
Imagen
El Partido de la U
Sitio web: [Enlace externo eliminado para invitados]
Vulnerabilidad: [Enlace externo eliminado para invitados]'
Tipo de Vulnerabilidad: Inyección SQL (SQLi)
Panel: Encontrado, pero no lo digo por cuestiones de seguridad.
Comentarios: Se entró al servidor y se dejó un mensaje. La web tiene un patrón de bugs.
Estado: Funcional, pero aún sigue vulnerable.
Notas: Se avisó sobre el fallo vía web. Más tarde se enviará un informe detallado en Word al administrador de la web.
Imagen

Imagen

Imagen

"The only thing they can't take from us are our minds."

Volver a “Auditoria Web”