Como bypassear función str_replace()?

Iniciado por Shell Root, 10 Marzo 2010, 06:51 AM

0 Miembros y 1 Visitante están viendo este tema.

Shell Root

mmm en el caso anterior no se podria generar un XSS  :rolleyes:.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

~ Yoya ~

#11
Hay mucha mas formas, pero también depende el entorno y donde vayas a usarlo xD, por ejemplo...

El codigo que usas se puede usar para detener XSS vía GET, mayormente se usa peticiones POST para enviar datos a hacia la BD pero ya el XSS puede convertirse en un XSS permanente y hay diferentes forma para ejecutar XSS, por eso te digo que depende mucho el ambiente, porque puedes ejecutar javascript desde CSS, llamando archivos externo, desde body, etc...
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

Shell Root

Cita de: ~ Yoya ~ en 10 Marzo 2010, 18:00 PMHay mucha mas formas, pero también depende el entorno y donde vayas a usarlo xD, por ejemplo...
Si seguimos el entorno en el que está es el siguiente:
Código (php) [Seleccionar]
<input type="text" value="<?php replace_sh(\"o_O"); ?>">
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

jdc

El xss permanente fue lo que mas me divirtio hace años cuando nacían los libros de visitas xD la gente decía... Hacker deja de molestar por favor, ja ja ja yo lo conocí como inyección html hasta que WHK me pregunto... "y sí inyecto javascript?" xD

De todas formas siempre que quieras proteger tu página debes conocer el ataque que quieres parar, por ejemplo, como pasarías un SQLi sin saber como ejecutar uno?

Para atacar hay que saber defender y viceversa

Pazador

Cita de: janito24 en 10 Marzo 2010, 07:24 AM
Como me recomendaste esa vez mejor usar htmlspecialchars con ENT_QUOTES, aún asi sí quieres joder a los h4x0rs un rato podrías revisar la variable en busca de <, >, ' y " y lanzar un mensaje de "te estoy viendo eh!" ja ja ja


Cita de: WHK en 10 Marzo 2010, 11:07 AM
y porque no usar htmlspecialchars? es nativo de php y cumple bien su función.

Ahora también hay temas relacionados con la codificación de documento como utf-7 pero eso ya es otro tema.

hay alguna diferencia si uso htmlentities("$X",ENT_QUOTES) ?? yo lo uso en lugar de htmlspecialchars  :huh:
La vida es un juego
Mario Bross

jdc

htmlentities desarma los caracteres y se ve feo a mi gusto xD pero es cosa de gustos o depende de en que lo vayas a usar.

~ Yoya ~

También ten en cuenta que no estas bypaseando la función str_replace(), si no los parámetros...
Si alguna vez logran bypassearlo no estarán bypasseando la función php str_replace(), si no los parámetros que le indicaste.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

jdc

Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y >

Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me

El diseño está pensado para celulares asi que no le pidan mas xD

WHK


jdc

xss-me u otra página? Sí es en esa no necesitas la primera comilla xD de echo basta con <h1>test

Está bajo control xD