jejeje, se que dije que los siguientes post iban a ser actuales, pero este tambien me parecio interesante, ya que cinemolis.com no ha tapado algunos bugs, por ejemplo:
Para llamar a una movie, se utiliza la variable ip
http://cinepolis.com.mx/cartelera/aspx/pelicula.aspx?ip=
Si metes algun xss ahí te tira un error de que estas intentando meter un codigo maligno, sin embargo cuando le asignas lo siguiente: debug=true
http://cinepolis.com.mx/cartelera/aspx/pelicula.aspx?ip=debug=true
te lanza otro error distinto
Line 14: Line 15: 'BLOQUE DE CÓDIGO PARA LA PELICULA DE HORTON -- 13/03/2008 Line 16: If id = 4647 Then Line 17: 'abrir popup Luego por ahí nos indica el path donde se encuentra el código de validación de esta web en la siguiente ruta. D:\www\cinepolis.com\cartelera\aspx\Pelicula.aspx.vb Line 18: Dim jsPopup As StringBuilder = New StringBuilder() Y bueno, ahí le pare porque me dio weba, pero pronto seguire investigando que más se le puede hacer. Les recuerdo que soy antidefacers, sin embargo siempre que un xss permite poner alguna firma y hacer una captura, pues es bienvenido. Nos vemos.
Archivado bajo: Uncategorized
