Abro este hilo para publicar vulnerabilidad es en sitios webs. Para poder postear en este hilo se deben de cumplir obligatoriamen te las siguientes normas:
--------------------------------------------------------------------------------
1.-Haber avisado de la existencia del bug al webmaster de la web.
2.-Se debe de publicar en un sitio externo previamente la información sobre el bug, cómo explotarlo etc.
3.- Se deben de exponer en el post las siguientes informaciones:
Site Vulnerable
Tipo de vulnerabilidad
Descubridor
Fecha de descubrimiento
Fecha de reporte al administrador
Fecha de liberación
URL externa
Parcheado
Informacion Adicional
4.- En caso de que el bug sea un LFI, postear archivo y variable vulnerable, mostrar ejemplo de cómo se explota(ba), usando algún archivo infofensivo (.txt, .gif, .css).
5.- Para los RFIs queda prohibido exponer un ejemplo que demuestre la vulnerabilidad, a menos que ya haya sido arreglado.
6.-En la informacion adicional, si se desea se puede exponer algún PoC o fotografía explicativa, en ningún caso postear un exploit perfectamente codeado.
7.- Si se tiene alguna duda sobre alguna vulnerabilidad (DUDAS CONCRETAS Y SOBRE EL POST, para otras está el resto del foro) se debe de citar el post que ha causado la duda y exponer el problema/duda.
8.- Para XSS, simplemente demostrar con un <script>alert(69)</script>.
9.- El post es solo para postear las vulnerabilidad es y dudas con ellas, no para felicitar o preguntar cualquier otra cosa
Se pueden añadir o modificar estas normas según se evolucione.
--------------------------------------------------------------------------------
Ejemplo de post:
[ + ] Site: www.Dreamers.c om
[ + ] Tipo de Vulnerabilidad: Múltiples[ XSS, & LFI]
[ + ] Descubridor: Vengador de las Sombras
[ + ] Fecha Descubrimiento: Abril 12, 2008
[ + ] Fecha Reporte al Administrador: Abril 15, 2008
[ + ] Fecha de liberación: Abril 23, 2008
[ + ] URL externa: http://argeniversohack.66ghz.com/index.php/topic,1597.0.html
[ + ] Parcheado: Sí, al día siguiente del reporte al administrador.
[ + ] Informacion Adicional: El LFI se explotaba introduciendo una shell en una imagen. Tras esto, te creabas un personaje y subías una foto de él. El include () se encontraban en el archivo plantilla.cgi, en la variable de tipo GET "Plantilla". (http://dreamers.com/cgibin/plantilla.cgi?plantilla=[DIRECCION FOTO]). El xss se encontraba en http://dreamers.com/cgibin....3Ealert (69)%3C/script%3E
