[uylug-varios] ataques curiosos
Kenneth Irving
ken at fq.edu.uy
Thu Oct 11 03:44:16 PDT 2012
On Thu, 11 Oct 2012, Fabio Moretti wrote:
>
>> Estas personas -- locos de mierda -- parecen pensar que si:
>>
>> http://stackoverflow.com/questions/10186813/how-to-run-cmd-exe-with-parameters-from-javascript
>> http://stackoverflow.com/questions/3152482/running-exe-from-javascript
>
> pedro, no sabes que están haciendo y porqué hacen la pregunta. llamar
> "locos de mierda" gente que capaz está trabajando y le sirve por eso o
> está estudiando un exploit para mostrar un bug o está simplemente
> investigando no es muy lindo.
>>
>> Es raro, porque shellexecute no esta definido en el codigo que estamos
>> viendo, y los ejemplos en stack overflow estan en mayusculas. Quizas
>> ese GET este agregando un elemento al DOM que contenga la funcion
>> shellexecute?
> no es nada raro, si lees un poco mas abajo en las mismas pagina de
> stackoverflow explican que se trata de un control activex que se puede
> instanciar en jscript.
>
O sea que es otro "agujero por diseño"... ¿no? Porque tenía entendido que
ese tipo de acciones estaba explícitamente excluido de poder ocurrir. De
no ser así, el inyectar código en un equipo remoto pasa a ser una
trivialidad.
saludos
Kenneth
More information about the Uylug-varios
mailing list