elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  XSS - Es posible bypassear los filtros por defecto de HTML5?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: XSS - Es posible bypassear los filtros por defecto de HTML5?  (Leído 2,880 veces)
Schaiden

Desconectado Desconectado

Mensajes: 97



Ver Perfil
XSS - Es posible bypassear los filtros por defecto de HTML5?
« en: 11 Julio 2016, 03:09 am »

Hola, bueno, mi duda es esa básicamente... Quería saber si existe alguna forma para enviar algo equivalente a "> sin que te salte el cartelito de HTML5... Me refiero a la validación que se hace si se usa el atributo required en el form... Y bueno, como sabrán existe una validación distinta para cada tipo de input... Me gustaría saber si se puede bypassear en algún tipo de input o ningúno... Y en caso de que no exista forma de bypassearlos, significa que no es necesaria una validación con javascript o PHP? Saludos y gracias por aclarar mis dudas


En línea

#!drvy


Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: XSS - Es posible bypassear los filtros por defecto de HTML5?
« Respuesta #1 en: 11 Julio 2016, 03:13 am »

Simplemente cambia el tipo (type) del input a text y elimina (en caso de que existan) las limitaciones que imponen los atributos adicionales (regex, required, etc). Todo lo puedes hacer on-the-fly con las herramientas para desarrolladores de tu navegador (F12 en Firefox y Chrome).

También puedes hacer tu propio request mediante algún lenguaje de programación o re-enviar los campos editando los el post-data o los headers.

Saludos


En línea

Schaiden

Desconectado Desconectado

Mensajes: 97



Ver Perfil
Re: XSS - Es posible bypassear los filtros por defecto de HTML5?
« Respuesta #2 en: 11 Julio 2016, 03:46 am »

Lo peor es que lo segundo sabía como hacerlo (lo de crear el request personalizado y modificar cabeceras http, y eso), pero no se me ocurrió usarlo para resolver ésto, jaja que tonto que fui... Y con lo primero me acabas de abrir la cabeza de una forma... ahora entiendo, todo lo que este de lado del cliente (del lado mio) lo puedo modificar como si fuera cualquier otro programa, lo único que realmente importa es la validación del lado del servidor.

Muchas gracias por abrirme tanto la cabeza!
« Última modificación: 11 Julio 2016, 03:48 am por Schaiden » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
es posible "bypassear" el sandbox de avast?
Bugs y Exploits
z_ane_666 1 3,058 Último mensaje 8 Agosto 2012, 09:50 am
por DarkaiMirels
Youtube utilizará por defecto HTML5 en lugar de Flash
Noticias
wolfbcn 0 1,362 Último mensaje 20 Mayo 2014, 20:39 pm
por wolfbcn
¿Es posible cambiar el buscador por defecto de Windows 10?.
Windows
crazykenny 2 2,555 Último mensaje 10 Febrero 2016, 14:09 pm
por crazykenny
Chrome 55 habilita HTML5 por defecto para enterrar a Flash
Noticias
wolfbcn 0 1,681 Último mensaje 2 Diciembre 2016, 18:21 pm
por wolfbcn
Es posible bypassear ésto?
Nivel Web
Ethicalsk 3 10,338 Último mensaje 3 Mayo 2018, 02:51 am
por WHK
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines