Hola a todos estoy realizando una prueba de un wargame, y sospecho que hay que bypassearlo con xss, asi que me he puesto manos a la obra:

Introduzco en la caja de texto:

Y me devuelve:


Osea que tiene filtro.

Pero por mas que cierro comillas y abro e intento no hay manera de bypassearlo.

No he tocado mucho seguridad web, asi que agradeceria vuestra ayuda.
Que puedo probar? Pasarlo a Base64? Vi algo de un tio que metia las cadenas encriptadas y las ineterpretaba el servidor como instrución y conseguia injectarle codigo.

Saludos

Es el de la zapateria de www[dot]diosdelared[dot]com

De la seción newbie.

Saludos

No no es...

No he visto el de la 'Zapateria' jojojojo ni siquiera lo tengo. xD

pues nada seguire intentandolo.. jajaja

Ando con la misma duda, he intentado muchas cosas, pero ya veremos que resulta

XD porque ya harto de probar y no saber que hacerle ya...
Alguna recomendación?

Saludos

Y aunque intente cosas como:

'" style="a:b;margin-top:-1000px;margin-left:-100px;width:4000px;height:4000px;display:block;" onmouseover=alert(1); a="'
'" onmouseover=alert(1) a="'
'"><script>alert(1)</script><'
 

No funciona :S
Y es lo que sugiere el siguiente post para bypassear el addslashes:

http://r00tsecurity.org/forums/topic/9924-workaround-strip-tags-and-addslashes-in-the-xss/

Saludos