Bypass de un filtro XSS

Iniciado por Debci, 19 Julio 2010, 20:39 PM

0 Miembros y 1 Visitante están viendo este tema.

Debci

Hola a todos estoy realizando una prueba de un wargame, y sospecho que hay que bypassearlo con xss, asi que me he puesto manos a la obra:

Introduzco en la caja de texto:
"\'<script>alert();</script>'\"

Y me devuelve:

\"\\\'<script>alert();</script>\'\\\"

Osea que tiene filtro.

Pero por mas que cierro comillas y abro e intento no hay manera de bypassearlo.

No he tocado mucho seguridad web, asi que agradeceria vuestra ayuda.
Que puedo probar? Pasarlo a Base64? Vi algo de un tio que metia las cadenas encriptadas y las ineterpretaba el servidor como instrución y conseguia injectarle codigo.

Saludos

Shell Root

Pues si podrías darnos el link de donde estas haciendo el wargame, te ayudaríamos más fácil.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

Debci

Es el de la zapateria de www[dot]diosdelared[dot]com

De la seción newbie.

Saludos

TapIt

Yo diría que es este http://warzone.elhacker.net/pruebas.php?p=24... si alguien puede dar alguna pista se agradecería porque yo estoi en las mismas.

Saludos  ;) !!
Busca y encontrarás...

Debci


TapIt

ya ya cuando lo e leido me dao cuenta pero bueno el caso es el mismo... :)
Busca y encontrarás...

Shell Root

No he visto el de la 'Zapateria' jojojojo ni siquiera lo tengo. xD
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

Debci

Cita de: TapIt en 19 Julio 2010, 22:21 PM
ya ya cuando lo e leido me dao cuenta pero bueno el caso es el mismo... :)
No lo es porque esa es muchisimo mas faicl, yo mismo la he pasado.

Saludos

TapIt

pues nada seguire intentandolo.. jajaja
Busca y encontrarás...

~ Yoya ~

lo que veo es que escapa las comillas simples y dobles con barras invertidas xD, al parecer tiene la directiva  Magic_quotes_gpc ON o usa la funcion addslashes()...

Aunque nose porque tu mismo escapas las comillas, algo raro no xD
Citar"\'<script>alert();</script>'\"
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.