Pues de visita por la Central Nuclear de cofrentes quise probar si era vulnerable y…
El XSS se encuentra aquí: www.cncofrentes.es/wcofrnts/corporativa/iberdrola?buscadorDto.cadenabusqueda=[XSS]&buscar.x=0&buscar.y=0&IDPAG=ESCOFBUSCANDO
————————-
Recordar que nos podeis seguir a nosotros y a nuestras actualizaciones desde nuestro Facebook: http://www.facebook.com/pages/Seguridad-Dimitrix/110339282319959
Un bonito XSS en el buscador de la página de Tursimo internaciona del Brasil:
FaceBook: http://www.facebook.com/pages/Yo-tambiénn-soy-Fan-de-DIMITRIX/
Hará unos 4 o 5 años, un grupo de principiantes informáticos (no les diremos hackers), tuvieron una idea, crear un programa anti-pederastas, que se coloque en torrets, emule, ares, etc… con nombres jugosos para esos asquerosos mounstrous…
- El programa en sí, enviaría un mensaje a la Guardia Civil, con la IP de el sujeto.
- No se podría borrar facilmente el programa (para así que se siga compartiendo y caiga más gente).
- Al cabo de X tiempo borre un archivo para que deje de funcionar el ordenador.
- Otras cosas…
¿Por qué esta bonita idea no se hizo?
Pues por que las leyes están como siempre, a favor del terrorista, del pederasta, etc…
~Y ahora es cuando nosotros seguiremos sus pasos…~
Bueno para empezar el año os quería preparar una serie de XSS en distintas webs de partídos políticos, pero por la escasez de tiempo no he podido profundizar en este tema, así que os dejo estos dos:
PSOE
El primer XSS se encuentra en la parte de Suscripciones y aunque en realidad se centra en uno, hay muchos.
http://www.psoe.es/generic/subscription.do?action=Password&type=newsletters&href=[XSS]
Otra cosa que encontré “escarbando” en la web del psoe es el panel administrador de tal:
https://www.psoe.es/generic/login_private.jsp
Y por último en el código fuente del panel administrador podremos ver un comentario de un botón entrar que pone “entrar-rojo”
ESPAÑA 2000
En la web de España 2000 queda un XSS muy muy viejo, que aunque ha cambiado la web, se puede acceder igualmente:
http://www.esp2000.org/v3/foto_grande.php?recordID=2862&cuerpo_img=[XSS]
Como curiosidad en la web de España 2000, si creamos un error en la web con por ejemplo el famoso “> aparecerá de título: “Welcome to the Frontpage”
http://esp2000.org/index.php?page=shop.brow%22%3Ese&category_id=5&vmcchk=1&option=com_virtuemart&Itemid=1
Saludos y hasta la próxima!
Bueno, como ya sabreis la SGAE ha creado una lista con 200 webs que ellos opinan “Ilegales” que quieren cerrar sin órden judicial, y bueno como no tienen muchos cojones no la han publicado, pero como supongo que por cojones mi web (buscardescargas.com) está ahí, pues he decidido darle las gracias cambiando los colorines de su web:
Click en la imagen para ver en grande
El XSS lo he encontrado en la zona “Recomiendanos” (se ve que no clickea ahí mucha gente…)
http://www.sgae.es/jsp/email-es.jsp?link=[XSS]
PD: Os recuerdo lo que pasó cuando me denució la última vez el gobierno:
http://seguridad.dimitrix.es/?p=6
Buenos chicos, recordad ser malos con esta gente!
Dejando de un lado los fallos de Tuenti, que son tantos que nunca terminaría, voy hablar un poco sobre la seguridad de los bancos, exactamente de tres bancos, como no puedo dar los nombres originales de los bancos, os diré sus nombres “parecidos”, estos bancos sobre los que hago este post son: Ernesto, La caiza y Bancasa.
Bueno, pues es curioso que en el sigo XXI, un crio de menos de 20 años sea capaz de saltar la seguridad de estos tres bancos y lo gracioso es que no tardé más de 1h desde que me puse para cada banco. Hay tres fallos.
- En un banco, (como en la mayoría), tiene la mania de utilizar sms para avisarte de cosas, el único problema para esto es que puedes falsificar tanto el remitente como el mensaje, así que a ver si recibes un mensaje sinque te haga mucha gracia y te jode pero bien listo… por lo menos, en esto pierden dinero ellos y no nosotros.
- En el segundo banco, bueno, nada importante, simplemente tienen un XSS como si la página fuera creada por el hijo del director… penoso, recuerdo que con un XSS se puede hacer Injencción de código HTML, formularios falsos, etc…
- En el tercer banco, menos importante, simplemente puedes sacar el código PIN de las tarjetas de débito/crédito, nada, por si eres vago y no te apetece ir a la oficina, crackeas el sistema y listo!
Bueno, con esto termino el post… y recodar que no hay que fiarse de nadie ni nada!
ATT: Dimitrix
Bien, aquí les muestro un XSS en la web de NIC (Es la empresa oficial de dominios del gobierno de españa)
El XSS se encuentra en cuando se quiere hacer un WHOIS a un dominio
https://www.nic.es/esnic/esn/verValidacionWhoisAction?dominio=[XSS]
Por ejemplo:
https://www.nic.es/esnic/esn/verValidacionWhoisAction?dominio=”><br><img border=”0″ src=”http://i214.photobucket.com/albums/cc173/dimitrix-es/XSS and Others/DimitrixHack.png” width=”493″ height=”371″><big>PUTA LEY!
Diría que no es nada personal, pero quizás sea por la multa de medio millón de pesetas que me han puesto 
Clickea en la imagen para hacerla en grande.
