Autor
|
Tema: Como bypassear función str_replace()? (Leído 13,555 veces)
|
Shell Root
|
Se olvidaron de mi duda...  Ahora que entendí como es el bypasseo de la funcion str_replace(), con caracteres < y >. Ahora lo siguiente es incluir el caracter ". Así: <?php function replace_sh($strTexto){ }//End Function ?>
Ahora como seria ese bypasseo... Antes era algo así: \"' onClick='alert(/XSS/);' Ahora si pongo eso, el resultado seria: [No]' onClick='alert(/XSS/);' Que podria hacer en ese caso?
|
|
|
En línea
|
Te vendería mi talento por poder dormir tranquilo.
|
|
|
jdc
|
Pues mmm, habría que pensar un poquito mas xD
|
|
|
En línea
|
|
|
|
~ Yoya ~
Wiki
Desconectado
Mensajes: 1.125
|
filtra todas la comillas simples y dobles... Desactiva Magic_Quote_GPC
|
|
|
En línea
|
Mi madre me dijo que estoy destinado a ser pobre toda la vida. Engineering is the art of balancing the benefits and drawbacks of any approach.
|
|
|
WHK
|
si quieres filtrar " ' < > mejor usa htmlspecialchars que hace lo mismo pero en ves de ponerle [no] le pone su valor equivalente en htmlentities.
|
|
|
En línea
|
|
|
|
Shell Root
|
si quieres filtrar " ' < > mejor usa htmlspecialchars que hace lo mismo pero en ves de ponerle [no] le pone su valor equivalente en htmlentities. Por su pollo, pero lo digo por 2da vez, es un ejemplo y una duda que tengo. Ahora si le hago un str_replace a la comilla doble, como hago para generar un XSS, o ahi si seria completamente imposible. Sin olvidar el entorno en el que estoy...
|
|
|
En línea
|
Te vendería mi talento por poder dormir tranquilo.
|
|
|
~ Yoya ~
Wiki
Desconectado
Mensajes: 1.125
|
Al fin y al cabo acabaras haciendo lo mismo con htmlentities, recuerda que estas bypasseando el parámetro que le indicas, y dudo que algúna persona use los mismo parámetros, mejor usan una función nativa de php...
|
|
|
En línea
|
Mi madre me dijo que estoy destinado a ser pobre toda la vida. Engineering is the art of balancing the benefits and drawbacks of any approach.
|
|
|
jdc
|
Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y > Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me El diseño está pensado para celulares asi que no le pidan mas xD Mira revisa la pagina otra vez, puse tu funcion como la pusiste al principio, luego quitando solo la ' y luego solo la " Intenta poner: " onmouseover="alert(document.cookie);" x=" y luego pasa el raton por encima de los text en blanco  En teoria segun eso con bloquear la " es suficiente pero yo bloquearia ambas xD lo dicho, usa htmlspecialchars($var,ENT_QUOTES) 
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Puedo bypassear esta regla del SQUID?
GNU/Linux
|
TrashAmbishion
|
0
|
1,823
|
9 Noviembre 2013, 20:08 pm
por TrashAmbishion
|
|
|
Se podra bypassear en VSB?
Scripting
|
softer2
|
7
|
4,007
|
19 Julio 2014, 22:40 pm
por engel lex
|
|
|
XSS - Es posible bypassear los filtros por defecto de HTML5?
Seguridad
|
Schaiden
|
2
|
3,013
|
11 Julio 2016, 03:46 am
por Schaiden
|
|
|
como usar str_replace para esto
« 1 2 »
PHP
|
Pajarito434
|
10
|
5,255
|
4 Enero 2017, 06:03 am
por engel lex
|
|
|
Como puedo bypassear un anticheat?
Hacking
|
InTheDeep
|
2
|
1,216
|
11 Enero 2025, 21:25 pm
por InTheDeep
|
|