[XSS]www.windowsazure.com from microsoft

[dancezar]

Exploit: XSS

Type: Reflected

Demeniu gasit de: VaD_SuNeTe

Exploatat de: danyweb09

P.O.C

Status:

-Raportat la microsoft

-Am primit raspuns acesta a fost ultimul

Hello,

I would like to provide you an update on this case. We have completed our investigations and reported issue has been fixed. We will be acknowledging your name in our Security Researchers webpage for the month of July.

Thanks again for reporting security issues to Microsoft responsibly and we appreciate your effort in doing so.

Thanks,

Sweety

MSRC

Edited July 24, 2013 by danyweb09

[VaD_SuNeTe]

Se scrie VaD_SuNeTe

[Castiel]

Deci cine a gasit xss-ul ca tot nam inteles sunete sau tu:))?

Bravo .

[dancezar]

domeniul gasit de vad sunete si eu am gasit xss in acel domeniu .Ms:)

[kronZy.dll]

Bravo danyweb09 & VaD_SuNeTe Multa bafta in continuare

[florin_darck]

Bravo dani Am raportat si eu xss + url redirection in microsoft main domain

[dancezar]

Ms:).Am vazut esti pe lista lor acolo felicitari:)!

[Byte-ul]

mda, nu e mare lucru. Practic ti-ai asumat munca lui VaD_SuNeTe

[StoNe-]

mda, nu e mare lucru. Practic ti-ai asumat munca lui VaD_SuNeTe

Practic, nu.

@Vad_sunete a gasit acel domeniu si Dany a gasit XSS.

[Byte-ul]

Practic, nu.

@Vad_sunete a gasit acel domeniu si Dany a gasit XSS.

Tare greu e sa te uiti in sursa si sa vezi ca daca bagi " iese din argument.

[Domnul.Do]

domeniul gasit de vad sunete si eu am gasit xss in acel domeniu .Ms:)

Poate sa puna mai multe denumiri daca ii ceri lui Carlos , ii spuni ca amandoi ati lucrat pentru acest XSS .

OffTopic:

Asa am pus pe cineva in lista pentru un pachet de tigari .

[VaD_SuNeTe]

S? explic?m xss-ul pentru încep?tori :

- În search box , avea filtrate <>/ ?i nu mergea nici cu htmlentites,urlencode ?i alte metode, folosind vectorul " onmouseover="alert(1) (dup? cum vede?i sau eliminat tagurile din vector.

Mi-a f?cut pl?cere s? lucrez cu DannyWeb09 , poate o s? mai g?sim noi 2 ni?te xss-uri.

O zi bun?

[dancezar]

Tare greu e sa te uiti in sursa si sa vezi ca daca bagi " iese din argument.

Nu e greu frate ,am spus eu ca am stat luni sa il exploatez din 3 requesturi l-am rezolvat.Deci initial ai spus ca mi-am asumat munca altuia cea ce nu este adevarat am lucrat amandoi,el mi-a facut o lista cu domenii ce apartin microsoft iar eu le-am cercetat,apoi spui ca nu e asa mare chestie sa gasesti un xss si cacaturi am un singur cuvant pentru tine CIUDA.

[Byte-ul]

Nu e greu frate ,am spus eu ca am stat luni sa il exploatez din 3 requesturi l-am rezolvat.Deci initial ai spus ca mi-am asumat munca altuia cea ce nu este adevarat am lucrat amandoi,el mi-a facut o lista cu domenii ce apartin microsoft iar eu le-am cercetat,apoi spui ca nu e asa mare chestie sa gasesti un xss si cacaturi am un singur cuvant pentru tine CIUDA.

Si eu un cuvant pentru tine. SCRIPT KID.

[VaD_SuNeTe]

Si eu un cuvant pentru tine. SCRIPT KID.

Dute m? dreacu tu nu ?tii ce înseamn? s? lucrezi cu DanyWeb09 ?i nici nu o s? ?tii , nu se folose?te de nici un tool , doar un incult ?i un imbecil c? tine poate spune asta. dac? ai ceva de comentat spune ceva adecvat postului/titlui - ai noroc c? am 2 warn-uri c? putea s? fie mai r?u, poate mâine poimâine zici de amândoi c? folosim tooluri , atunci te "scuip" în fa??.

[BLODAS666]

Si eu un cuvant pentru tine. SCRIPT KID.

Toti am fost la un moment dat SKIDS. Asa ca nu te umfla in pene.

[VaD_SuNeTe]

Toti am fost la un moment dat SKIDS. Asa ca nu te umfla in pene.

Nici la inceput nu am folosit vrun tool.

Singurul tool care am folosit a fost doar de proba , este vorba despre bruteforcerul lu Jimmy.

EDIT: BLODAS TU ESTI CHIOR ? AM ZIS CA LA-M PROBAT, NU LA-M FOLOSIT.

Edited July 24, 2013 by VaD_SuNeTe

[BLODAS666]

Nici la inceput nu am folosit vrun tool.

Singurul tool care am folosit a fost doar de proba , este vorba despre bruteforcerul lu Jimmy.

Dar ai folosit , nu? Hadeti sa trecem de problema "SKID-ingului", nu de alta, dar sa nu se lase cu warnuri si banuri.

[dancezar]

El vrea sa se refere la faptul ca folosesc accunetix.Acum 2 ani cand ma interesam cum pot sa imi securizez proiectele PHP si atunci am aflat prima data de vurnerabilitatile Web si nici atunci nu am deschis accunetixu sau tool am preferat sa invat cum sa fac manual asa mi se parea mie mai interesant asa sunt eu mai ciudat,o singura data am vazut pe rst despre accunetix si l-am instalat sa vad ce e de capul lui dar l-am dat afara imediat dupa ce am vazut ca nu e de nimic.Cu asta termin nu vreau sa ma mai cert cu cineva ca am 2 warnuri.

[Byte-ul]

Dute m? dreacu tu nu ?tii ce înseamn? s? lucrezi cu DanyWeb09 ?i nici nu o s? ?tii , nu se folose?te de nici un tool , doar un incult ?i un imbecil c? tine poate spune asta. dac? ai ceva de comentat spune ceva adecvat postului/titlui - ai noroc c? am 2 warn-uri c? putea s? fie mai r?u, poate mâine poimâine zici de amândoi c? folosim tooluri , atunci te "scuip" în fa??.

Deci ce am zis a fost foarte adecvat postului. Nu inteleg de ce te dai mare si tare ma copile. Dute si ajuta-l pe fratu' cu corigenta la matematica si mai lasa metinu, csu, rstu, etc.

[VaD_SuNeTe]

Deci ce am zis a fost foarte adecvat postului. Nu inteleg de ce te dai mare si tare ma copile. Dute si ajuta-l pe fratu' cu corigenta la matematica si mai lasa metinu, csu, rstu, etc.

Am încercat s? î?i explic cu frumosul dar cu tine nu se poate

Gata pur ?i simplu ma-i scos din pepeni , ce pula mea te preocup? ce face fratele meu ? a ajuns un martalog ca tine s? m? critice , c? fratemiu e corigent ?i p**a mea, recunosc c? mai joc câte odat? cs când m? plictisesc dar nu ?tiu de ce p**a mea te preocup? pe tine ce fac eu!!! Nu conteaz? ce fac joc cs sau nu , dar conteaz? ce ?tiu .

+ Te bagi în seam? ca o p***? ne****t?, te m?nânc? limba de la a?âta p**? subta?

+ BONUS : Dute-n p**? mea de schizofrenic, chiar m?-i scos din pepeni cine e?ti tu s? îmi zici s? las RST-ul , dute-n p**a mea.

Pentru mine e?ti un limbric.

E?ti atât de mic în ochii mei dar tu te vezi mare.

Edited July 24, 2013 by VaD_SuNeTe

[Castiel]

Vad_Sunete fara suparare esti gamer inrait Acum cateva zile am primit un mass de la un prieten cu un site de gaming nu dau numele si am dat click si am vazut la chat Vad_Sunete