Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Bugs y Exploits => Hacking => Nivel Web => Mensaje iniciado por: 6666 en 12 Septiembre 2014, 03:39 AM

Título: Xss injection & sql injection pequeña duda.
Publicado por: 6666 en 12 Septiembre 2014, 03:39 AM
Algún string váĺida, con estos carácteres? a-z A-Z 0-9 '!+
Título: Re: Xss injection & sql injection pequeña duda.
Publicado por: engel lex en 12 Septiembre 2014, 04:10 AM
no entendi la pregunta... un string valido para eso es

aA0'!+ XD
Título: Re: Xss injection & sql injection pequeña duda.
Publicado por: 6666 en 12 Septiembre 2014, 04:14 AM
pero xss no encontre nada.
exacto, ando buscando consultas sql aceptadas que apliquen esos critérios.
Título: Re: Xss injection & sql injection pequeña duda.
Publicado por: engel lex en 12 Septiembre 2014, 04:21 AM
muestrame una que no aplique ese criterio :s
Título: Re: Xss injection & sql injection pequeña duda.
Publicado por: 6666 en 12 Septiembre 2014, 04:25 AM
'1+union+all+select+hola+from+mysql.user
'1'+and+1=1
order+by1
group+by+3232

Aunque necesito reemplazo de ascii =

Código [Seleccionar]
So in javascript we have a onerror handler which is also on the window object, this means if we assign a function to onerror we can call it by generating a javascript error! How do we generate a javascript error? Throw is a nice way, this means throw can pass an argument to a function you can create some pretty awesome crazy looking javascript.


onerror=alert;throw 1;

This works on every browser apart from Firefox *, Safari and IE will just call the function with the argument but Chrome and Opera add uncaught to the argument. This is no big deal though since we can just modify it slightly and use a different object as an argument such as a string.


onerror=eval;throw'=alert\x281\x29';

..
pero no consigo una que funcione.
Título: Re: Xss injection & sql injection pequeña duda.
Publicado por: engel lex en 12 Septiembre 2014, 04:36 AM
pero estas son validas al patron que das

Citarorder+by1
group+by+3232

probaste que el ejemplo si funciona bien? no vaya a ser que desde un principio no sirva XD
Título: Re: Xss injection & sql injection pequeña duda.
Publicado por: 6666 en 12 Septiembre 2014, 07:27 AM
Tengo ese problema, la idea es recopilar la mayoría de sentences para hacer el stress después. imagíno un blind sql. more
Sólo texto | Texto con Imágenes