 Autor
|
Tema: Como bypassear función str_replace()? (Leído 3,851 veces)
|
jdc
 Desconectado
Mensajes: 3.228
janito dos cuatro...
|
htmlentities desarma los caracteres y se ve feo a mi gusto xD pero es cosa de gustos o depende de en que lo vayas a usar.
|
|
|
|
|
En línea
|
|
|
|
~ Yoya ~
Wiki
Desconectado
Mensajes: 907
|
También ten en cuenta que no estas bypaseando la función str_replace(), si no los parámetros...
Si alguna vez logran bypassearlo no estarán bypasseando la función php str_replace(), si no los parámetros que le indicaste.
|
|
|
|
|
En línea
|
|
|
|
jdc
Desconectado
Mensajes: 3.228
janito dos cuatro...
|
Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y > Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me El diseño está pensado para celulares asi que no le pidan mas xD |
|
|
|
|
En línea
|
|
|
|
WHK
吴阿卡
Moderador Global
Desconectado
Mensajes: 3.944
The Hacktivism is not a crime
|
janito, tu web tiene xss  '"><h1>test |
|
|
|
|
En línea
|
|
|
|
jdc
Desconectado
Mensajes: 3.228
janito dos cuatro...
|
xss-me u otra página? Sí es en esa no necesitas la primera comilla xD de echo basta con <h1>test
Está bajo control xD
|
|
|
|
|
En línea
|
|
|
|
Shell Root
Desconectado
Mensajes: 2.400
Alex Jurado
|
Se olvidaron de mi duda... Ahora que entendí como es el bypasseo de la funcion str_replace(), con caracteres < y >. Ahora lo siguiente es incluir el caracter ". Así: <?php
function replace_sh($strTexto){
echo str_replace("\"","[No]",str_replace(">","[No]",str_replace("<","[No]",$strTexto)));
}//End Function
?> Ahora como seria ese bypasseo... Antes era algo así: \"' onClick='alert(/XSS/);' Ahora si pongo eso, el resultado seria: [No]' onClick='alert(/XSS/);' Que podria hacer en ese caso? |
|
|
|
|
En línea
|
 --- |
|
|
jdc
Desconectado
Mensajes: 3.228
janito dos cuatro...
|
Pues mmm, habría que pensar un poquito mas xD
|
|
|
|
|
En línea
|
|
|
|
~ Yoya ~
Wiki
Desconectado
Mensajes: 907
|
filtra todas la comillas simples y dobles... Desactiva Magic_Quote_GPC
|
|
|
|
|
En línea
|
|
|
|
WHK
吴阿卡
Moderador Global
Desconectado
Mensajes: 3.944
The Hacktivism is not a crime
|
si quieres filtrar " ' < > mejor usa htmlspecialchars que hace lo mismo pero en ves de ponerle [no] le pone su valor equivalente en htmlentities.
|
|
|
|
|
En línea
|
|
|
|
Shell Root
Desconectado
Mensajes: 2.400
Alex Jurado
|
si quieres filtrar " ' < > mejor usa htmlspecialchars que hace lo mismo pero en ves de ponerle [no] le pone su valor equivalente en htmlentities. Por su pollo, pero lo digo por 2da vez, es un ejemplo y una duda que tengo. Ahora si le hago un str_replace a la comilla doble, como hago para generar un XSS, o ahi si seria completamente imposible. Sin olvidar el entorno en el que estoy...
|
|
|
|
|
En línea
|
--- |
|
|
~ Yoya ~
Wiki
Desconectado
Mensajes: 907
|
Al fin y al cabo acabaras haciendo lo mismo con htmlentities, recuerda que estas bypasseando el parámetro que le indicas, y dudo que algúna persona use los mismo parámetros, mejor usan una función nativa de php...
|
|
|
|
|
En línea
|
|
|
|
jdc
Desconectado
Mensajes: 3.228
janito dos cuatro...
|
Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y > Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me El diseño está pensado para celulares asi que no le pidan mas xD Mira revisa la pagina otra vez, puse tu funcion como la pusiste al principio, luego quitando solo la ' y luego solo la " Intenta poner: " onmouseover="alert(document.cookie);" x=" y luego pasa el raton por encima de los text en blanco  En teoria segun eso con bloquear la " es suficiente pero yo bloquearia ambas xD lo dicho, usa htmlspecialchars($var,ENT_QUOTES) 
|
|
|
|
|
En línea
|
|
|
|
|
 |
