Oct 13

5 Bancos españoles a prueba

Bancos, Seguridad, web, xss No Comments »

Desde Seguridad Dimitrix hemos querido poner de manifiesto de una vez por todas la poca seguridad existente en Bancos, telefonías móviles y tiendas online.

Por ello hemos hecho un informe haciendo una auditoría a cinco bancos españoles (que no vamos a nombrar quien la ha realizado) ni los bancos que se han auditado.

Para ello se han tomado las siguientes medidas:
- 30 minutos de auditoría para cada banco.
- La única vulnerabilidad que se dirá será el XSS.
- Otras vulnerabilidades se tratarán por Baja/Media/Grave (El xss sería entre baja y media)

Recordar que podeis enteraros de nuestras publicaciones en nuestro Facebook.

Tagged with:
Oct 07

XSS en registrador Brasileño (BraziUs)

Bug, Seguridad, web, xss No Comments »

Vemos que nuestros amigos del otro lado del charco no son muy buenos en seguridad tampoco…

Hemos conseguido explotar BraziUs en poco tiempo, además de tener muchos fallos más graves que un simple XSS.

http://www.brazi.us/cadastro_usuario.jsp?txtDominio=[XSS]

Me gustaría indicar que… Nosotros no atacamos a las webs, no las desfaceamos y en la mayoría de los casos avisamos a sus administradores. La única razón por la cual la publicamos aquí es para hacer entender a las personas la poca seguridad que existe en este momento en la red.

Sigue nuetas publicaciones desde nuesta página de Facebook:
http://www.facebook.com/#!/pages/Yo-también-soy-Fan-DIMITRIX/110339282319959

Tagged with:
Ago 28

XSS en Fotolog

Seguridad, web, xss No Comments »

La vulnerabilidad se encuentra en la versión móvil (y olvidada) de Fotolog.

La ruta con la vulnerabilidad se encuentra aquí:

http://m.fotolog.com/search.php?auth=[XSS]

Sigue nuetas publicaciones desde nuesta página de Facebook:
http://www.facebook.com/#!/pages/Yo-también-soy-Fan-DIMITRIX/110339282319959

¡Ser buenos y happy Hacking!

Tagged with:
Jun 10

Dimitrix de paseo por Brasil…

Gobierno, xss No Comments »

Un bonito XSS en el buscador de la página de Tursimo internaciona del Brasil:

FaceBook: http://www.facebook.com/pages/Yo-tambiénn-soy-Fan-de-DIMITRIX/

Tagged with:
May 05

XSS en “www.nic.es” (Web de dominios .es del gobierno)

Bug, Gobierno, Seguridad, Uncategorized, xss 4 Comments »

Bien, aquí les muestro un XSS en la web de NIC (Es la empresa oficial de dominios del gobierno de españa)

El XSS se encuentra en cuando se quiere hacer un WHOIS a un dominio

https://www.nic.es/esnic/esn/verValidacionWhoisAction?dominio=[XSS]

Por ejemplo:

https://www.nic.es/esnic/esn/verValidacionWhoisAction?dominio=”><br><img border=”0″ src=”http://i214.photobucket.com/albums/cc173/dimitrix-es/XSS and Others/DimitrixHack.png” width=”493″ height=”371″><big>PUTA LEY!

Diría que no es nada personal, pero quizás sea por la multa de medio millón de pesetas que me han puesto :P

Clickea en la imagen para hacerla en grande.

Tagged with:
May 01

XSS en Tuenti parcial

Bug, Seguridad, Tuenti, xss 3 Comments »

Bueno, algo que vi hace tiempo es esta especie de XSS parcial, digo parcial por que no filtra etiquetas HTML, pero tienes muchos problemas para ejecutar código, sobretodo con el símbolo “=”

El XSS se encuentrae en la variable “id” que carga videos de youtube

http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24

http://www.tuenti.com/#m=sharevideo&id=[XSS]

No obstante, primero tendremos que bloquear el script del video, para así poner nuestro nuevo códigos con menos problemas, yo hice esto

http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24“></script>

Algo muy importante es que tienes que poner el ID de un video que funcione primero y después el código, el código que muestro en el video (que se puede ver como se desplaza la frase es el siguiente):

http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24″></script><hr><h1><big><marquee><center>SALUDO A TODOS DESDE TUENTI!, DIMITRIX!</center></h1><hr>

Seguramente, después de este post, pondré uno sobre seguridad, como saltarse algunas restricciones y otras cosas “Muy divertidas”

Tagged with:
preload preload preload