Foro de elhacker.net

q tull? aca ando con una wewb tratando de encotrarle un fuck bug, pero al paraecer por ahora no hya ninguno a mi alcance, me parece.

porq encontre que ingresando un comentario o post hay un codigo javascript por el que pasa antes el "cuerpo del mensaje" el cual es

encodeURIComponent

yo pensaba si hay manera de saltear ese codigo, osea que no convierta "<" a "&lt;" dudo que se pueda pero como aca hay varios mucho mas cancheros que yo tal vez sabian algo, gracias por todo ;)

el javascript se ejecuta en el lado del cliente, así que lo puedes modificar/bypassear, ayúdate de un proxy, por ejemplo WebScarab, Proxy, Paros, etc...

Te recomiendo que con Opera Browser le des a ver > código fuente > quitas el javascript que molesta y le das a aplicar cambios, luego ya ingresas tú texto, aún así dudo que el personaje haya echo toda la protección con js seguro el archivo que procesa algo más hace.

esa función está en una prueba nueva del warzone, supongo que no es esa la web que estas tratando de ver si tiene fallas xD

No es mas fácil con tamper data?

si se escribe directamente como por ejemplo encodeURIComponent('$palabra') talves puedas escapar con ');alert(document.cookie);x=' y podrías inyectar sobre el código de javascript

no te entendi muy bien lo que me quisiste decir, el codigo del que yo te hablo es asi:

encodeURIComponent(mensaje)

Donde mensaje es el nombre de la variable a usar

entonces no. esa función actua de forma similar al urlencode con la diferencia de que puedes pasarle expresiones regulares para omitir carácteres o encodear todo el string.

si lo imprime directamente en un enlace entonces no se puede hacer mucho pero todo depende si le da una variable o el string.

var texto = 'hola';
document.write(encodeURIComponent(texto));

o

document.write(encodeURIComponent('hola'));

vee si puedes inyectar en el código de javascript no en la función misma porque asi no vas a poder.