
Creo que solo se puede hacer con servidores en los que el <a href="http://stackoverflow.com/questions/8055636/how-to-deal-with-evil-validating-user-input-before-system-shell-execute">browser confia</a>, y en la red interna respecto del equipo. <br>


<br>Es para que los locos de mierda puedan hacer <a href="http://stackoverflow.com/questions/8055636/how-to-deal-with-evil-validating-user-input-before-system-shell-execute">todo tipo de curiosidades</a>.<br><br>:)<br><br>


Un abrazo,<br>Pedro<br><br><div class="gmail_quote">El 11 de octubre de 2012 23:44, Kenneth Irving <span dir="ltr"><<a href="mailto:ken@fq.edu.uy" target="_blank">ken@fq.edu.uy</a>></span> escribió:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div class="im"><br>

On Thu, 11 Oct 2012, Fabio Moretti wrote:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Estas personas -- locos de mierda -- parecen pensar que si:<br>

<br>

<a href="http://stackoverflow.com/questions/10186813/how-to-run-cmd-exe-with-parameters-from-javascript" target="_blank">http://stackoverflow.com/<u></u>questions/10186813/how-to-run-<u></u>cmd-exe-with-parameters-from-<u></u>javascript</a><br>


<a href="http://stackoverflow.com/questions/3152482/running-exe-from-javascript" target="_blank">http://stackoverflow.com/<u></u>questions/3152482/running-exe-<u></u>from-javascript</a><br>

</blockquote>

<br>

pedro, no sabes que están haciendo y porqué hacen la pregunta. llamar<br>

"locos de mierda" gente que capaz está trabajando y le sirve por eso o<br>

está estudiando un exploit para mostrar un bug o está simplemente<br>

investigando no es muy lindo.<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

Es raro, porque shellexecute no esta definido en el codigo que estamos<br>

viendo, y los ejemplos en stack overflow estan en mayusculas. Quizas<br>

ese GET este agregando un elemento al DOM que contenga la funcion<br>

shellexecute?<br>

</blockquote>

no es nada raro, si lees un poco mas abajo en las mismas pagina de<br>

stackoverflow explican que se trata de un control activex que se puede<br>

instanciar en jscript.<br>

<br>

</blockquote>

<br></div>

O sea que es otro "agujero por diseño"... ¿no? Porque tenía entendido que ese tipo de acciones estaba explícitamente excluido de poder ocurrir. De no ser así, el inyectar código en un equipo remoto pasa a ser una trivialidad.<br>


saludos<span class="HOEnZb"><font color="#888888"><br>

<br>

Kenneth</font></span><br>_______________________________________________<br>

Uylug-varios mailing list<br>

<a href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>

<a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>

<br></blockquote></div><br><br clear="all"><br>-- <br><a href="http://is.gd/signature_" target="_blank">http://is.gd/droope</a><br>