elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Como bypassear función str_replace()?
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: Como bypassear función str_replace()?  (Leído 13,172 veces)
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Como bypassear función str_replace()?
« Respuesta #10 en: 10 Marzo 2010, 17:46 pm »

mmm en el caso anterior no se podria generar un XSS  :rolleyes:.
En línea

Te vendería mi talento por poder dormir tranquilo.
~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Como bypassear función str_replace()?
« Respuesta #11 en: 10 Marzo 2010, 18:00 pm »

Hay mucha mas formas, pero también depende el entorno y donde vayas a usarlo xD, por ejemplo...

El codigo que usas se puede usar para detener XSS vía GET, mayormente se usa peticiones POST para enviar datos a hacia la BD pero ya el XSS puede convertirse en un XSS permanente y hay diferentes forma para ejecutar XSS, por eso te digo que depende mucho el ambiente, porque puedes ejecutar javascript desde CSS, llamando archivos externo, desde body, etc...
« Última modificación: 10 Marzo 2010, 18:02 pm por ~ Yoya ~ » En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Como bypassear función str_replace()?
« Respuesta #12 en: 10 Marzo 2010, 18:10 pm »

Hay mucha mas formas, pero también depende el entorno y donde vayas a usarlo xD, por ejemplo...
Si seguimos el entorno en el que está es el siguiente:
Código
  1. <input type="text" value="<?php replace_sh(\"o_O"); ?>">
En línea

Te vendería mi talento por poder dormir tranquilo.
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Como bypassear función str_replace()?
« Respuesta #13 en: 10 Marzo 2010, 18:54 pm »

El xss permanente fue lo que mas me divirtio hace años cuando nacían los libros de visitas xD la gente decía... Hacker deja de molestar por favor, ja ja ja yo lo conocí como inyección html hasta que WHK me pregunto... "y sí inyecto javascript?" xD
 
De todas formas siempre que quieras proteger tu página debes conocer el ataque que quieres parar, por ejemplo, como pasarías un SQLi sin saber como ejecutar uno?
 
Para atacar hay que saber defender y viceversa
En línea

Pazador

Desconectado Desconectado

Mensajes: 39



Ver Perfil
Re: Como bypassear función str_replace()?
« Respuesta #14 en: 10 Marzo 2010, 19:05 pm »

Como me recomendaste esa vez mejor usar htmlspecialchars con ENT_QUOTES, aún asi sí quieres joder a los h4x0rs un rato podrías revisar la variable en busca de <, >, ' y " y lanzar un mensaje de "te estoy viendo eh!" ja ja ja


y porque no usar htmlspecialchars? es nativo de php y cumple bien su función.

Ahora también hay temas relacionados con la codificación de documento como utf-7 pero eso ya es otro tema.

hay alguna diferencia si uso htmlentities("$X",ENT_QUOTES) ?? yo lo uso en lugar de htmlspecialchars  :huh:
En línea

La vida es un juego
Mario Bross
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Como bypassear función str_replace()?
« Respuesta #15 en: 10 Marzo 2010, 19:34 pm »

htmlentities desarma los caracteres y se ve feo a mi gusto xD pero es cosa de gustos o depende de en que lo vayas a usar.
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Como bypassear función str_replace()?
« Respuesta #16 en: 10 Marzo 2010, 22:04 pm »

También ten en cuenta que no estas bypaseando la función str_replace(), si no los parámetros...
Si alguna vez logran bypassearlo no estarán bypasseando la función php str_replace(), si no los parámetros que le indicaste.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Como bypassear función str_replace()?
« Respuesta #17 en: 10 Marzo 2010, 22:17 pm »

Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y >
 
Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me
 
El diseño está pensado para celulares asi que no le pidan mas xD
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Como bypassear función str_replace()?
« Respuesta #18 en: 10 Marzo 2010, 22:55 pm »

janito, tu web tiene xss :P

Código:
'"><h1>test
En línea

jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Como bypassear función str_replace()?
« Respuesta #19 en: 10 Marzo 2010, 23:17 pm »

xss-me u otra página? Sí es en esa no necesitas la primera comilla xD de echo basta con <h1>test
 
Está bajo control xD
En línea

Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Puedo bypassear esta regla del SQUID?
GNU/Linux
TrashAmbishion 0 1,694 Último mensaje 9 Noviembre 2013, 20:08 pm
por TrashAmbishion
Se podra bypassear en VSB?
Scripting
softer2 7 3,755 Último mensaje 19 Julio 2014, 22:40 pm
por engel lex
XSS - Es posible bypassear los filtros por defecto de HTML5?
Seguridad
Schaiden 2 2,885 Último mensaje 11 Julio 2016, 03:46 am
por Schaiden
como usar str_replace para esto « 1 2 »
PHP
Pajarito434 10 5,089 Último mensaje 4 Enero 2017, 06:03 am
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines