|
Título: [?] Duda en XSS Publicado por: iiitttaaa en 27 Junio 2011, 23:07 pm miren en una página se envian mensajes y en el título del mensaje es vulnerable a XSS si envio un mensaje con el titulo
"><SCRIPT>alert(/'hola'/)</SCRIPT> a el le aparece un letrero con /´hola´/ pero en si aparece quiero saber como poder entrar a la cuenta de otro con este error las cookies no se si funcione pero si creen que si como robo las cookies ayuda Título: Re: [?] Duda en XSS Publicado por: madpitbull_99 en 27 Junio 2011, 23:23 pm No puedes! La variable está siendo filtrada con htmlspecialchars() o htmlentities() por eso solo te sale el mensaje y el alert() no se ejecuta.
Citar quiero saber como poder entrar a la cuenta de otro con este error En este foro nadie te ayudará a llevar a cabo acciones ilegales. Título: Re: [?] Duda en XSS Publicado por: xustyx en 28 Junio 2011, 02:10 am Por lo que veo te cambia las ( ' ) por ´ prueba sin poner las ( ' )
así: "><SCRIPT>alert(/hola/)</SCRIPT> Lo demas tendras que mirar en el Codigo fuente de la pagina que se genera y mirar si no te cambia tambien el < y > o que por ejemplo no aparezca script o cosas asi que los filtros quitan. Un saludo. Título: Re: [?] Duda en XSS Publicado por: Cleantesdeasso en 28 Junio 2011, 20:47 pm Hola. Has probado con onerror StringFromCharCode?
Título: Re: [?] Duda en XSS Publicado por: ~ Yoya ~ en 29 Junio 2011, 00:35 am Bypass de magic_quotes_gpc() para explotar XSS via POST (http://yoyahack.blogspot.com/2010/02/bypass-de-magicquotesgpc-para-expotar.html)
Título: Re: [?] Duda en XSS Publicado por: .:UND3R:. en 6 Julio 2011, 04:56 am te está filtrando lo que colocaste tal como dicen se cambia ´ por ' por lo que esto queda tan solo como texto y no como código debes hacer bypass xss busca en internet, hay mucha info sobre esto
Saludos |