...una historia inofensiva pero real ~ XSS en la web de la Guardia Civil ~
Pues nada, un XSS que descubri el otro dia jugando.
Ahi va:
Full Disclosure 100% DIY (esto es, a mi manera)
donde se habla de una historia
inofensiva pero real
~ XSS en la web de la Guardia Civil ~
Por/By: vlan7 [ http://vlan7.blogspot.com ]
~
Fecha de descubrimiento y contacto con la Guardia Civil: 5-Jul-09
Fecha en la que la Guardia Civil responde confirmándolo: 6-Jul-09
Fecha en la que este XSS queda mitigado: 7-Jul-2009
¿Full Disclosure? released to the public: 10-Jul-2009
~
"No hemos hecho nada del otro mundo, porque vivimos en este"
Eskorbuto
P.D. No es mi especialidad la seguridad web, cualquier correccion sera bienvenida. Gracias.
He añadido un archivo .ZIP con las referencias, que realmente es lo mejor del documento :D Hay alguno bastante bueno.
Referencias
http://www.wadalbertia.org/phpBB2/viewtopic.php?p=56031
Ahi va:
donde se habla de una historia
inofensiva pero real
~ XSS en la web de la Guardia Civil ~
Por/By: vlan7 [ http://vlan7.blogspot.com ]
~
Fecha de descubrimiento y contacto con la Guardia Civil: 5-Jul-09
Fecha en la que la Guardia Civil responde confirmándolo: 6-Jul-09
Fecha en la que este XSS queda mitigado: 7-Jul-2009
¿Full Disclosure? released to the public: 10-Jul-2009
~
"No hemos hecho nada del otro mundo, porque vivimos en este"
Eskorbuto
P.D. No es mi especialidad la seguridad web, cualquier correccion sera bienvenida. Gracias.
He añadido un archivo .ZIP con las referencias, que realmente es lo mejor del documento :D Hay alguno bastante bueno.
Referencias
http://www.wadalbertia.org/phpBB2/viewtopic.php?p=56031
posteado por vlan7 en 9:36 PM
2 Comentarios:
Felicidades ;) hay algunos XSS más, y algunas que otras inyecciones SQL :/
Buenas tio, que tal
Decir que los del GDT no son desarrolladores de la web, ellos estan para cosas mas serias... ;)
Si quieres reportar lo que has encontrado... a mi tanto por mail como por telefono me han parecido muy amables.
Suerte!
Publicar un comentario en la entrada
<< Home