elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
28 Mayo 2012, 05:39  


Tema destacado: [AIO elhacker.NET] Compilación herramientas análisis y desinfección malware

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  Duda XSS		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Duda XSS  (Leído 1,556 veces)
miguelskk

Desconectado Desconectado

Mensajes: 100



Ver Perfil
Duda XSS
« en: 28 Abril 2011, 17:47 »
Probando a inyectar código al escribir "><SCRIPT>alert(5);</SCRIPT>"> en el buscador de una pagina, transforma la consulta a \"><SCRIPT>alert(5);</SCRIPT>\">

He estado buscando que es debido a una función llamada addslashes(); ¿cómo podría bypassearlo?

Un saludo y gracias ;)
En línea
Ellos levantan muros y vallas por todas partes, nosotros respondemos escribiendo nuestros nombres, ellos se cabrean y dicen que eso no es arte.
jdc


Desconectado Desconectado

Mensajes: 3.253


janito dos cuatro...


Ver Perfil WWW
Re: Duda XSS
« Respuesta #1 en: 28 Abril 2011, 17:58 »
Trata quitando las comillas y elaborando más el xss aunque si te muestra las etiquetas html en texto sin ejecutarlas, probablemente esté combinado con algo más la función
En línea
dimitrix


Desconectado Desconectado

Mensajes: 4.059



Ver Perfil WWW
Re: Duda XSS
« Respuesta #2 en: 28 Abril 2011, 18:56 »
Cita de: jdc en 28 Abril 2011, 17:58
Trata quitando las comillas y elaborando más el xss aunque si te muestra las etiquetas html en texto sin ejecutarlas, probablemente esté combinado con algo más la función

Mira que no exista ningún iframe, etc...
En línea



Tyrz


Desconectado Desconectado

Mensajes: 917


Get big or die tryin'


Ver Perfil WWW
Re: Duda XSS
« Respuesta #3 en: 30 Abril 2011, 17:58 »
has probado con null byte?

esto puede ayudarte http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string
En línea
Surf
miguelskk

Desconectado Desconectado

Mensajes: 100



Ver Perfil
Re: Duda XSS
« Respuesta #4 en: 30 Abril 2011, 18:53 »
No estoy muy seguro de que use addslashes() hay alguna otra funcion que haga algo parecido?
En línea
Ellos levantan muros y vallas por todas partes, nosotros respondemos escribiendo nuestros nombres, ellos se cabrean y dicen que eso no es arte.
tragantras


Desconectado Desconectado

Mensajes: 466


Ver Perfil
Re: Duda XSS
« Respuesta #5 en: 4 Mayo 2011, 15:35 »
la función addslashes no prevee frente a XSS así que mientras no se haga algun htmlentities o alguna función parecida que preveea la insercción de caracteres HTML (que no parece que se use) no deberías preocuparte de las funciones usadas.

Inspecciona el código y fíjate donde se localiza lo que inyectaste (por si tienes que cerrar o abrir otras etiquetas antes)

Un saludo
En línea
Colaboraciones:
1 2
miguelskk

Desconectado Desconectado

Mensajes: 100



Ver Perfil
Re: Duda XSS
« Respuesta #6 en: 4 Mayo 2011, 16:37 »
Gracias, mirare a ver
En línea
Ellos levantan muros y vallas por todas partes, nosotros respondemos escribiendo nuestros nombres, ellos se cabrean y dicen que eso no es arte.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[duda] liberar memoria fisica [/duda]
GNU/Linux 		k a t z 1 1,560 Último mensaje 30 Diciembre 2006, 00:38
por cthulhufhtagn
OTRA DUDA DE LOS MALDITOS Iframes. Duda HTML. 20-5
Desarrollo Web 		‭lipman 7 2,904 Último mensaje 21 Mayo 2007, 09:27
por dominioswww
Pequeña duda con un comando batch (NUEVA DUDA RELACIONADA)
Scripting 		revenge1252 9 2,498 Último mensaje 13 Febrero 2008, 21:41
por revenge1252
Duda batch y ademas duda del foro
Hacking Básico 		relom 4 1,301 Último mensaje 9 Marzo 2008, 06:32
por Leo Gutiérrez.
<duda>Polimorfismo en C</duda>
Análisis y Diseño de Malware 		marlochack 8 3,132 Último mensaje 2 Febrero 2010, 01:23
por [L]ord [R]NA
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines