8 Comentarios

1. 1 kesar (25 de octubre de 2006, 03:05:55 am) http://www.kesar.org

   Como me gustan tus quizz :]

   Al principio probaba intentando pasarle parámetros, pero luego me di cuenta que la / era la solución

2. 2 alex (25 de octubre de 2006, 07:06:40 pm) http://www.buayacorp.com

   Muy bien kesar, complementando tu respuesta, para aprovechar ese fallo la url tendría un formato parecido a:

   code:

   http://vulnerable.com/index.php/"><script>alert('xss')</script><f

   $_SERVER['PHP_SELF'] en este caso tomaría el valor de:

   code:

   /index.php/"><script>alert('xss')</script><f

   que produciría lo siguiente:

   html:

   <form action="/index.php/"><script>alert('xss')</script><f" method="post">
   </form>

3. 3 Edu (26 de octubre de 2006, 02:36:06 am)

   No entiendo muy bien, por qué en:
   http://vulnerable.com/index.php/">alert('xss')

4. 4 alex (29 de octubre de 2006, 08:01:23 pm) http://www.buayacorp.com

   Edu, no entiendo muy bien tu pregunta, supongo que se quitaron algunas cosas por los filtros de wordpress, para futuros comentarios, si deseas poner código, mira lo siguiente.

5. 5 LH (28 de enero de 2007, 02:18:42 pm)

   En realidad no tiene nada de milicioso ese codigo quien lo creo? santaclos o un raton?? necesitas mas

6. 6 Marc Palau (17 de julio de 2007, 12:02:53 pm) http://www.nbsp.es/

   Muy interesante, había leído sobre otro métodos pero este brilla por su facilidad.

   LH, antes de hablar infórmate porque un fallo así de sencillo te puede llevar a robos de sesión y otros.

   saludos!!

7. 7 Valdex (31 de enero de 2008, 02:33:22 pm) http://cvaldex.blogspot.com

   Muchas gracias, me sirvió mucho para solucionar un problema....

8. 8 Luis Toscano (29 de septiembre de 2008, 11:45:44 pm) http://www.codigolandia.com

   es potencialmente peligrosa porq pasas un parametro al codigo ya q php_self jala la url actual del documento por lo q le puedes mandar cualquier dato y no seria lo correcto