Blog

PhoneSat.org(NASA) => Καραμπινάτη XSS

Βλέποντας χθες την εκτόξευση του Antares ( –> εκτόξευση στο youtube ) κάπου πήρε το μάτι μου και ένα πείραμα που εκτοξεύτηκε μαζί με τον πύραυλο. Το PhoneSat λοιπόν είναι ο «sputnik» του 2013. (περισσότερα μπορείτε να βρείτε εδώ για το phonesat).

Επισκέφτηκα λοιπόν και εγώ το site, γράφτηκα στο personas ή κάτι τέτοιο. Έβαλα και username και Callsign. Είπα ας τεστάρω μήπως πιάνει τίποτα το επικίνδυνο στο site όπως αν μπορώ να ανεβάσω κάποιο shellάκι ή καμιά εικόνα που θα με αφήσει να βάλω shellάκι κτλ ποιο ψαγμένα. Πριν όμως δοκιμάσω τίποτα τέτοιο ή φτιάξω payloads σκέφτηκα να δοκιμάσω αν μπορεί να περάσει μια persitent xss.

Έδωσα λοιπόν στο πεδίο username  [Spiros’><script>alert(‘Greece XSS’);</script>]. (δεν ξέρω γιατί Greece XSS ήταν αυθόρμητο)

Και ορίστε τι έγινε όταν επισκέφτηκα τη σελίδα με όλα τα usernames:

Η αλήθεια είναι ότι ταλανίστικα για λίγο και σκέφτηκα να μπω μέσω Tor, να βάλω xssf, metasploit κτλ κτλ αλλά τελικά  η λογική κυριάρχησε και απλά ενημέρωσα τον administrator για την τεράστια τρύπα που υπάρχει στο site και σε ένα 15′(!!!) απήντησε ότι το φτιάχνουν.

Μια απάντηση στο “PhoneSat.org(NASA) => Καραμπινάτη XSS”

  1. vaggosal σχολίασε:

    Ωραίος φίλε !
    Είναι πολύ περίεργο που σε site της Nasa υπήρχε τέτοια τρυπάρα!

Αφήστε ένα σχόλιο