Bueno, algo que vi hace tiempo es esta especie de XSS parcial, digo parcial por que no filtra etiquetas HTML, pero tienes muchos problemas para ejecutar código, sobretodo con el símbolo “=”
El XSS se encuentrae en la variable “id” que carga videos de youtube
http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24
http://www.tuenti.com/#m=sharevideo&id=[XSS]
No obstante, primero tendremos que bloquear el script del video, para así poner nuestro nuevo códigos con menos problemas, yo hice esto
http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24“></script>
Algo muy importante es que tienes que poner el ID de un video que funcione primero y después el código, el código que muestro en el video (que se puede ver como se desplaza la frase es el siguiente):
http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24″></script><hr><h1><big><marquee><center>SALUDO A TODOS DESDE TUENTI!, DIMITRIX!</center></h1><hr>
Seguramente, después de este post, pondré uno sobre seguridad, como saltarse algunas restricciones y otras cosas “Muy divertidas”
