Bueno, se trata de algo muy simple.
Este primer ejemplo, es un foro con SMF
El tema es que podemos alterar un poco nuestro perfil, para que se parezca a otro aprovechando algunos caracteres especiales imperceptibles en algunos navegadores.
Si ustedes intentan en un foro de estos cambiar su nombre de usuario por uno existente, obtendrán algo como lo siguiente:
Y es porque el sistema valida que el usuario ya existe.
Pero si jugamos un poco con los caracteres especiales y colocamos algo como:
ATRANX
Podemos registrarlo:
Ya que ese usuario realmente no existe, pero visualmente podemos lograr un pequeño engaño
Incluso si vemos en los usuarios conectados veremos algo como:
Esto sucede con Mozilla, pero si lo vemos en chrome, tenemos este efecto:
Así que eso depende del navegador.
Otra cosa que podemos hacer con esto es "bypassear filtros" en Facebook.
Les coloco el siguiente caso:
Actualmente en facebook, en la publicaciòn de notas, cuando se intenta publicar contenido html como el siguiente:
<a href="http://www.youtube.com/channel/HCxAJ-ON2kZuw">http://www.google.com</a>
El sistema valida primero si lo que se visualiza corresponde a un link, en este caso se visualiza http://www.google.com, por tanto, cuando presionemos en el href realmente nos enviarà a google.com, no a youtube. digamos que solo tenemos esto
<a href="http://www.youtube.com/channel/HCxAJ-ON2kZuw">www.google.com</a></blockquote>
href="http://files.myopera.com/Mengo/albums/3723772/cat-owned.jpg">ht“t“p://www.youtube.““com/channel/HCxAJ-ON2kZuw</a>
"Pueden intentar con otros caracteres en caso de que esto este no les funcione."
Finalmente obtenemos algo asì:
Esto lo puede ver acá
https://www.facebook.com/notes/maligno-uao/excelente-video-para-morirse-de-la-risa/1393229954244405
Bueno, eso nos puede servir para ingeniarnos ataque en otros sistemas.
Analizando, esto quiere decir que paraa facebook, lo que el usuario ve, no es una URL, por tanto direccionará a la url que está en el href.
/enjoy
0 comentarios:
Publicar un comentario