Jump to content
Domnul.Do

Testare dupa XSS "sub radar"

Recommended Posts

Posted (edited)

Am deschis acest thread deaorece din experienta mea cand caut dupa XSS, ajung la un input/textarea ( in mare parte in blog-ul sau forum-ul domeniului respectiv ) dar ca sa nu atrag atentie nedorita,incerc sa folosesc verctori care nu par a fii vectori,ca de exemplu:

Incerc sa fac dintr-un vector un smiley :

<;">

Avantaje:

-are formatul unui tag , daca redeaza in pagina inseamna ca filtru este numai pe tag-uri

-prezinta ' " ' pentru a iesi din executia normala a unui tag html

-prezinta ' ; ' pentru a iesi din executia normala a unui javascript

-nu este folosit ca sa nu fie inlocuit,in cazul " : ) (fara spatiu)" poate fi inlocuit cu 1.gif

-daca este filtrat , se poate interpreta ca un smiley

Incerc sa maschez vectorul:

-fac un href pe un punct cu un protocol javascript , si restul scrisului il fac in albastru cu underline

Avantaje:

-scrisul o sa fie la fel , unde numai punctul la sfarsit are un protocol javascript

Sau la un vector normal (care nu executa alert) adauga un <div a= , de exemplu:

"><noscript></noscript><div a="

Avantaje:

-nu malformeaza restul codului,datoriva tag-ul <div>

-nu atrage atentie prin interactiunea user-ului

Daca aveti alte modalitati de a ramane "sub radar" sau daca doriti sa va pronuntati va invit la un reply la thread-ul meu

Update:

Un alt smiley :

9.gif ( :"> blushing) dar cu spatiu sa nu il inlocuiasca : ">

Edited by Domnul.Do

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...