XSS en hotmail - actualmente desfasado

[CiberPunk]

Bien hace unas semanas se descubrio, una atacke XSS a hotmail, incluso hicimos varios testeos y funcionaron.

Ademas los Turkos encontraron la manera de explotar el XSS, teniedo acceso a tu bandeja de entrada mediante el metodo de robo de cookies algo como un sniffer. JeJe aquellos dias funcionaban a la perfeccion, bueno ahora ta parcheados por lo que creo XD

aca unas tomas del testeo




Code XSS:

Código:

http://calendar.msn.com/tasks/isapi.dll?reguest=view&type=new&httpFrom=">punk<SCRIPT>alert('XSS');</SCRIPT>

[OzX]

Exploit XSS en Hotmail aun no solucionado
Enviado el Miércoles, 5 de Julio del 2006 (11:20:01) por Admin

Hacking Hace aproximadament e una semana, un chico holandés de 16 años reportó a Microsoft un exploit en XSS (cross site scripting) que encontró en Hotmail.

Pues bien parece mentira que con lo grave que es, ya que permite a cualquier hacker conseguir entrar en una cuenta sin necesidad de conocer ni la dirección de correo de la víctima ni la contraseña, Microsoft no haya arreglado este bug todavía.

El exploit permite el control total sobre la cuenta mediante el robo de cookies y luego la falsificación de esta cookie para así tener el control total sobre la cuenta. Luego a través de XSS podemos insertar un código javascript que enviaría la cookie a un servidor con los datos en un script. Esto puede estar escrito en PHP, ASP, CGI, prácticamente en casi todo.

Recomendamos desde aquí que se ande con mucho ojo con este exploit, ya que puede estar en sitios web, correos, o en mensajes instantáneos. Vigilad donde hacéis clic, ya que os podéis quedar sin cuenta.

Fuente: messengeradict os

increible que alguien de 16 se gano el respeto de ing y demases jejejej... se publico en julio ya devio ser parchado.. ¡

[CiberPunk]

Lamentablement e no lo testeaste, pero en si aun seguia funcionando.

Bueno eso dejo a criterio del Admin, para publicar el video en que se demuestra la explotacion del XSS de hotmail, con el metodo de robo de cookies, la verdad halgo comun para explotar los XSS.

Greetings:::

[OzX]

bueno ahora ta parcheados por lo que creo XD

lo dije por eso..


Para ver este enlace Registrate o Inicia Sesion

http://www.daftrix.com/videos.php

aki estaba donde estaba el video, y tb en milworm, pero lo sakaron....

si lo tienes lo podrias postear...

por lo q vi en el video tenias que mandarle un link al user.. y este al ser aceptado te manda el cookie.. y con un editor de cookie puedes copiarla e ingresr a hotmail con su cuenta...

[CiberPunk]

JeJeJe tas al dia, pues el editor de cookies tiene que ser uno que soporte el reamplazo en header y otras funciones para q puedan trabajar el proxy local. para eso sirve de mucho el proximitron.

A ver ps que dice la gente, ppr q la ora vez publique deface es asp web link's y un poco q me llamaron la atencion.

Y el video de milw0rm fue retirado debido a que el autor no dio detalles exactos en los ke se basaba su inyeccion de cookies. y como parte de etica ya que mostar un fallo en una empresa grande sin tener la solucion era muy arriesgado.

Greetings:::.

[OzX]

si totalmente...
pero me recuerdo que ocupaba el firefox, porque ocupaba una extencion del firefoz, cookie editor o algo asi...

y yo dije, a la vuelta lo grabo¡¡ demonios¡¡ y lo sakaron...

pero igual....no entiendo porque te llamaron la atencion si... es un link hacia otro lado.. no esta alojado en el server del foro...

podrias subirlo a geocities o algun de esos lados y poner el link aka... nose. pero es un bugs bastante feo que lo lei hace bastante pero no tenia idea de como hacerlo... en fin...

[CiberPunk]

XD pues por que no se puede publicar los defaces aqui ps man.

Bueno el video esta en idioma turko, y lo publicare en la seccion manules.

Greetings:::

[OzX]

a ok... lo buscare en esa seccion

adios¡