Portada
mis comunidades
otras secciones
#21:
#3 #12 un XSS es muy serio. No tiene nada que ver con capturas de pantalla.
XSS directo como ese, permite que un atacante construya un enlace que añada codigo arbitrario a la pagina, pudiendo el atacante ejecutar javascript localmente simplemente añadiendo el tag SCRIPT o algo tan sencillo como enviar el SessionId con un simple tag IMG a un tercer servidor. El atacante puede forzar al usuario a abrir links que no quiere, robarle las cookies o cualquier informacion de la pagina y a enviar informacion a un servidor de terceros.
Por ejemplo, podria construir un link no tan obvio como el citado, usando tecnicas de condificacion (http://ha.ckers.org/xss.html). Ese link podria ir a la pagina de login de bankia.es, y sustituir el enlace de http://wwww.bankia.es/login.php por http://www.bamkia.com/login.php. Un usuario incauto veria el link y lo daria por bueno al ser a bankia.es (no se veria como pissing), y una vez alli ya se despreocuparia y mandaria su informacion de login a bamkia.com en lugar de bankia.es. Podria incluso hacer echo de cada caracter que se introducen en los campos de user y login y enviarlos a otro sitio.
Otro caso es por ejemplo encadenar una secuencia de acciones usando "setTimeout". Le pueden robar las cookies, u obtener informacion de forma arbitraria y enviarla a un tercer servidor.
Las posibilidades son infinitas...
Y si, se considera como "hackeado". XSS es muy serio, os creeis que hace falta un SQL injection o un path taversal o un hackeo a lo Operacion Swordfish para montar una catastrofe. Menos pelis hay que ver. Los hackers invierten muchisimas horas en probar e investigar cada posible vulnerabilidad, encontrar un XSS directo es un agujero terriblemente grande.
XSS directo como ese, permite que un atacante construya un enlace que añada codigo arbitrario a la pagina, pudiendo el atacante ejecutar javascript localmente simplemente añadiendo el tag SCRIPT o algo tan sencillo como enviar el SessionId con un simple tag IMG a un tercer servidor. El atacante puede forzar al usuario a abrir links que no quiere, robarle las cookies o cualquier informacion de la pagina y a enviar informacion a un servidor de terceros.
Por ejemplo, podria construir un link no tan obvio como el citado, usando tecnicas de condificacion (http://ha.ckers.org/xss.html). Ese link podria ir a la pagina de login de bankia.es, y sustituir el enlace de http://wwww.bankia.es/login.php por http://www.bamkia.com/login.php. Un usuario incauto veria el link y lo daria por bueno al ser a bankia.es (no se veria como pissing), y una vez alli ya se despreocuparia y mandaria su informacion de login a bamkia.com en lugar de bankia.es. Podria incluso hacer echo de cada caracter que se introducen en los campos de user y login y enviarlos a otro sitio.
Otro caso es por ejemplo encadenar una secuencia de acciones usando "setTimeout". Le pueden robar las cookies, u obtener informacion de forma arbitraria y enviarla a un tercer servidor.
Las posibilidades son infinitas...
Y si, se considera como "hackeado". XSS es muy serio, os creeis que hace falta un SQL injection o un path taversal o un hackeo a lo Operacion Swordfish para montar una catastrofe. Menos pelis hay que ver. Los hackers invierten muchisimas horas en probar e investigar cada posible vulnerabilidad, encontrar un XSS directo es un agujero terriblemente grande.
Comentarios
#0 Hasta yo, que no tengo ni idea de informática, solo de verlo sé que eso es un XYZ injection y que no han hackeado nada, ya que no han alterado la información del servidor y solo se muestra así en el cliente.
XYZ = otras siglas que no recuerdo. ¿XSS?
#3
Por eso está en comillas lo de "hackeado"
He aqui el script:
http://pastebin.com/tTyeHjUQ
#5 Ok, entonces está bien mi voto de sensacionalista.
Creo que estaba mejor en el nótame.
#3 ¿No es un cross site scripting? (XSS)
#3 bueno, un hack no tiene por que alterar el servidor, se está explotando un bug, tal como yo lo veo, les han hackeado.
wow vaya hacker , lo proximo va a ser hacer una captura de pantalla, modificarla con el paint y subirla para decir que hemos hackeado la pagina
#10 bien visto ahi podrias tener algo de razon pero esta cogido con pinzas
#13 ese titulo ya no engancha tanto como el otro, no le auguro buen futuro
#12
Que sea lo que el Spaghetti quiera..
#14 me apunto ese acortador..buenisimo!!
#3 #12 un XSS es muy serio. No tiene nada que ver con capturas de pantalla.
XSS directo como ese, permite que un atacante construya un enlace que añada codigo arbitrario a la pagina, pudiendo el atacante ejecutar javascript localmente simplemente añadiendo el tag SCRIPT o algo tan sencillo como enviar el SessionId con un simple tag IMG a un tercer servidor. El atacante puede forzar al usuario a abrir links que no quiere, robarle las cookies o cualquier informacion de la pagina y a enviar informacion a un servidor de terceros.
Por ejemplo, podria construir un link no tan obvio como el citado, usando tecnicas de condificacion (http://ha.ckers.org/xss.html). Ese link podria ir a la pagina de login de bankia.es, y sustituir el enlace de http://wwww.bankia.es/login.php por http://www.bamkia.com/login.php. Un usuario incauto veria el link y lo daria por bueno al ser a bankia.es (no se veria como pissing), y una vez alli ya se despreocuparia y mandaria su informacion de login a bamkia.com en lugar de bankia.es. Podria incluso hacer echo de cada caracter que se introducen en los campos de user y login y enviarlos a otro sitio.
Otro caso es por ejemplo encadenar una secuencia de acciones usando "setTimeout". Le pueden robar las cookies, u obtener informacion de forma arbitraria y enviarla a un tercer servidor.
Las posibilidades son infinitas...
Y si, se considera como "hackeado". XSS es muy serio, os creeis que hace falta un SQL injection o un path taversal o un hackeo a lo Operacion Swordfish para montar una catastrofe. Menos pelis hay que ver. Los hackers invierten muchisimas horas en probar e investigar cada posible vulnerabilidad, encontrar un XSS directo es un agujero terriblemente grande.
La imagen es esta:
Anonimous no para y eso que no tiene cupula
.
Estos mamones me lo estan poniendo dificil,que hago con mis ahorros?
1.-Comprar acciones basura.
2.-Donar a intereconomía.
3.-Autodestruirlos.
Ya se lo que hacer:
Bebermelos y fumarmelos con los colegas,cómo he hecho toda la vida,jajaja.
La imagen es la leche
la url http://pu.tasg.ae/noqrsx01
¡Ahora que me iba a hacer bankero! Es superfuerte, o sea, ¿no?
ya está tags y titulo modificado
Podeis cambiar el:
por la foto que querais ej:
http://i.imgur.com/6abzK.jpg
http://bit.ly/oHjlin
¿Qué es el XSS? -> http://es.wikipedia.org/wiki/Cross-site_scripting
Es #OpTakeTheWeb. Os dejo una captura del estado actual de la página:
#0 el tag "defaced" está a varios kilométros.
Ese script comete el error de no validar los parámetros que le pasa el usuario, de ahí a "hackear" conseguir acceso al servidor, modificar la aplicación o exponer datos hay un buen trecho.
marchando una de 12J --> #opTakeTheWeb, nueva operación Anonymous para hoy 12J
#opTakeTheWeb, nueva operación Anonymous para hoy ...
youtube.comYa lo han solucionado, pero ahí está la captura que lo prueba.
Por cierto, el desarrollo de esa parte del sitio está hecho por http://www.colbenson.es/ que tienen como frase "Expertos en Encontrabilidad" una palabra que ni la RAE conoce
#15 http://en.wikipedia.org/wiki/Findability Igual que hay términos técnicos que no existen en castellano, éste es otro de los muchos que se traduce como se puede.
XYZ, XSS, script, cross site scripting, bug... me da igual. El cartelito ha quedado la mar de bién.
Pero, ¿una vez dentro no se puede meter un virus de estos apocalíptico que jodiera todo el sistema? ¿No se puede entrar en las cuentas y realizar un montón de transferencias aleatorias y que se tiren 4 meses para arreglarlo todo?
No se si técnicamente es viable, pero lo suyo es que busquen menos publicitad ("Hemos craqueado la página de la Otan" y lo que sacan es el menú de la cantina) y que intenten realmente sembrar el caos en la Red.
Pues a mi el buscador de bankia me sugiere cosas raras
http://buscador.bankia.es/doAction.do?particulares=&origen=%3Cdiv%20style=%22position:absolute;%20top:50px;%20left:50px;%22%3Eun%20poco%20de%20porno%3C/div%3E&action=query&portal=bankiaes
#25 Pues ami por desahucios solo me vienen dos referencias a articulos legales. que cosas
Muy buena si señor.
Que buena. Por favor, machacadlos.