XSS

HackForum

XSS#
Lze nějak provést XSS když je ve vstupních polích funkce clean(); která ze vstupu odstraní "<script>" "</script>" "document"? Zkoušel jsem metodu String.fromCharCode ale tam budu muset použít všechny tyhle zakázané parametry...
(odpovědět)
_D@N | 83.240.30.*29.4.2008 14:00
re: XSS#
kolikrat se to prozene tou funkci? jednoduse zkus zadat:
<scr<script>ipt> alert(123); </scr</script>ipt>
a dej vedet, jak to dopadlo...
(odpovědět)
Emkei | E-mail | Website | PGP29.4.2008 14:12
re: XSS#
Zkusil jsem. Tagy "script" byly opět odstraněny.
(odpovědět)
_D@N | 89.190.44.*29.4.2008 23:14
re: XSS#
Jen bych snad dodal, že ve výstupu zůstaly "<" "/>" hranaté závorky, které tam předtím nezůstaly.
(odpovědět)
_D@N | 89.190.44.*29.4.2008 23:15
re: XSS#
v tom pripade to neobejdes. jestli jsem to pochopil spravne, tak funkce clean() je jen kosmetickou upravou, a to, co se ji nepodari odstranit, bude prevedeno na entity, tudiz nemas v tomhle smeru sanci...
(odpovědět)
Emkei | E-mail | Website | PGP30.4.2008 15:38
re: XSS#
pravdepodobne byly pri vstupu nahrazeny nahradnimi entitami html
(odpovědět)
_Gerlige | 195.113.176.*30.4.2008 11:24
re: XSS#
A je tedy nějaká možnost provést XSS?
(odpovědět)
_D@N | 89.190.44.*30.4.2008 17:23
re: XSS#
pokud tebou zadany text aplikace v posledni fazi prozene nejakou funkci pro prevod nebezpecnych znaku na entity, tak ne...
(odpovědět)
Emkei | E-mail | Website | PGP30.4.2008 17:42
re: XSS#
neslo by to zapsat takhle???

%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%
22%78%73%73%22%29%3B%3C%2F%73%63%72%69%70%7
4%3E
(odpovědět)
kure | 212.96.172.*30.4.2008 22:58

Zpět
 
 
 

 
BBCode