الحماية للأبد -Security 4 Ever

الحماية للأبد -Security 4 Ever (https://www.sec4ever.com/home/index.php)
-   قسم الأخبار التقنية والنقاشات الجادة (https://www.sec4ever.com/home/forumdisplay.php?f=98)
-   -   [خبر] xss challenge (https://www.sec4ever.com/home/showthread.php?t=19458)

dyaz 05-04-2019 09:55 PM

xss challenge
 
السلام عليكم ورحمة الله تعالى وبركاته

اليوم معنا تحدي xss على موقع shop.ford.com


http://shop.ford.com/showroom/?gnav=...nktype=build#/


المطلوب هو اظهار الدومين على popup box مثل الصورة

وارسال الحل على الخاص

https://i.imgur.com/gO7dQ3I.png


بالتوفيق للجميع



Nani17 09-04-2019 09:59 AM

رد: xss challenge
 
وعليكم السلام ورحمة الله وبركاته

أحب تحدياتك , للأسف لم أحصل على شيئ

dyaz 09-04-2019 04:44 PM

رد: xss challenge
 
اقتباس:

المشاركة الأصلية كتبت بواسطة Nani17 (المشاركة 103330)
وعليكم السلام ورحمة الله وبركاته

أحب تحدياتك , للأسف لم أحصل على شيئ


الحمد لله أول واحد يرد ظننت أن المنتدى مهجور

اخي nani17 سوف أضع الحل بعد أيام لنعطي الفرصة لباقي الأعضاء

بالتوفيق

Nani17 09-04-2019 06:28 PM

رد: xss challenge
 
اقتباس:

المشاركة الأصلية كتبت بواسطة dyaz (المشاركة 103331)
الحمد لله أول واحد يرد ظننت أن المنتدى مهجور

اخي nani17 سوف أضع الحل بعد أيام لنعطي الفرصة لباقي الأعضاء

بالتوفيق

تمام أخي , فحصته من خلال الـ Burp suit & Acunetix
ولم يجدوا شيئ

كنت متوقّع أنّه يحتاج فحص يدوي ويحتاج وقت أيظاً و لم يكن هنالك الوقت الكافي
خصوصاً و أن الموقع مليئ بالـ items

بإنتظار الشرح إن شاء الله , أو الأداة التي تم اكتشاف الثغرة عن طريقها

Spy-Q8 10-04-2019 02:52 AM

رد: xss challenge
 
مصاب ايضا sql boolean search

لكن xss ليس لدي خبره فيها

dyaz 10-04-2019 02:50 PM

رد: xss challenge
 
اقتباس:

المشاركة الأصلية كتبت بواسطة spy-q8 (المشاركة 103333)
مصاب ايضا sql boolean search

لكن xss ليس لدي خبره فيها


افدنا اخي ان امكن لاني جربت ولم احصل على شيء ماهو الاستعلام الذي جربته????

dyaz 10-04-2019 03:02 PM

رد: xss challenge
 
اقتباس:

المشاركة الأصلية كتبت بواسطة Nani17 (المشاركة 103332)
تمام أخي , فحصته من خلال الـ Burp suit & Acunetix
ولم يجدوا شيئ

كنت متوقّع أنّه يحتاج فحص يدوي ويحتاج وقت أيظاً و لم يكن هنالك الوقت الكافي
خصوصاً و أن الموقع مليئ بالـ items

بإنتظار الشرح إن شاء الله , أو الأداة التي تم اكتشاف الثغرة عن طريقها




الثغرة موجودة لكن المشكل في الحماية التي واضعها الموقع لانه مانع الevent handler وبعض الtags


الساعة الآن 04:33 PM

Powered by vBulletin® Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.