Duda XSS

Iniciado por miguelskk, 28 Abril 2011, 17:47 PM

0 Miembros y 1 Visitante están viendo este tema.

miguelskk

Probando a inyectar código al escribir "><SCRIPT>alert(5);</SCRIPT>"> en el buscador de una pagina, transforma la consulta a \"><SCRIPT>alert(5);</SCRIPT>\">

He estado buscando que es debido a una función llamada addslashes(); ¿cómo podría bypassearlo?

Un saludo y gracias ;)
Ellos levantan muros y vallas por todas partes, nosotros respondemos escribiendo nuestros nombres, ellos se cabrean y dicen que eso no es arte.

jdc

Trata quitando las comillas y elaborando más el xss aunque si te muestra las etiquetas html en texto sin ejecutarlas, probablemente esté combinado con algo más la función

dimitrix

Cita de: jdc en 28 Abril 2011, 17:58 PM
Trata quitando las comillas y elaborando más el xss aunque si te muestra las etiquetas html en texto sin ejecutarlas, probablemente esté combinado con algo más la función

Mira que no exista ningún iframe, etc...




Tyrz

Web dedicada por completo al surf. Hablamos de tablas de surf, videos de surf, fotos, juegos y mucha información sobre como aprender a surfear, spots famosos como mundaka, pipeline y zonas como vizcaya, surf españa, sopelana y mucho más. Trucos y peligros del surf. A que esperas? Entra en  Surf

miguelskk

No estoy muy seguro de que use addslashes() hay alguna otra funcion que haga algo parecido?
Ellos levantan muros y vallas por todas partes, nosotros respondemos escribiendo nuestros nombres, ellos se cabrean y dicen que eso no es arte.

tragantras

la función addslashes no prevee frente a XSS así que mientras no se haga algun htmlentities o alguna función parecida que preveea la insercción de caracteres HTML (que no parece que se use) no deberías preocuparte de las funciones usadas.

Inspecciona el código y fíjate donde se localiza lo que inyectaste (por si tienes que cerrar o abrir otras etiquetas antes)

Un saludo
Colaboraciones:
1 2

miguelskk

Gracias, mirare a ver
Ellos levantan muros y vallas por todas partes, nosotros respondemos escribiendo nuestros nombres, ellos se cabrean y dicen que eso no es arte.