Βλέποντας χθες την εκτόξευση του Antares ( –> εκτόξευση στο youtube ) κάπου πήρε το μάτι μου και ένα πείραμα που εκτοξεύτηκε μαζί με τον πύραυλο. Το PhoneSat λοιπόν είναι ο «sputnik» του 2013. (περισσότερα μπορείτε να βρείτε εδώ για το phonesat).

Επισκέφτηκα λοιπόν και εγώ το site, γράφτηκα στο personas ή κάτι τέτοιο. Έβαλα και username και Callsign. Είπα ας τεστάρω μήπως πιάνει τίποτα το επικίνδυνο στο site όπως αν μπορώ να ανεβάσω κάποιο shellάκι ή καμιά εικόνα που θα με αφήσει να βάλω shellάκι κτλ ποιο ψαγμένα. Πριν όμως δοκιμάσω τίποτα τέτοιο ή φτιάξω payloads σκέφτηκα να δοκιμάσω αν μπορεί να περάσει μια persitent xss.

Έδωσα λοιπόν στο πεδίο username

<script>alert(Greece XSS);</script>.

(δεν ξέρω γιατί Greece XSS ήταν αυθόρμητο).

Και ορίστε τι έγινε όταν επισκέφτηκα τη σελίδα με όλα τα usernames:

Η αλήθεια είναι ότι ταλανίστικα για λίγο και σκέφτηκα να μπω μέσω Tor, να βάλω xssf, metasploit κτλ κτλ αλλά τελικά η λογική κυριάρχησε και απλά ενημέρωσα τον administrator για την τεράστια τρύπα που υπάρχει στο site και σε ένα 15′(!!!) απήντησε ότι το φτιάχνουν.