Domnul.Do Posted July 21, 2013 Report Posted July 21, 2013 (edited) Am deschis acest thread deaorece din experienta mea cand caut dupa XSS, ajung la un input/textarea ( in mare parte in blog-ul sau forum-ul domeniului respectiv ) dar ca sa nu atrag atentie nedorita,incerc sa folosesc verctori care nu par a fii vectori,ca de exemplu:Incerc sa fac dintr-un vector un smiley :<;"> Avantaje:-are formatul unui tag , daca redeaza in pagina inseamna ca filtru este numai pe tag-uri-prezinta ' " ' pentru a iesi din executia normala a unui tag html-prezinta ' ; ' pentru a iesi din executia normala a unui javascript-nu este folosit ca sa nu fie inlocuit,in cazul " : ) (fara spatiu)" poate fi inlocuit cu -daca este filtrat , se poate interpreta ca un smileyIncerc sa maschez vectorul:-fac un href pe un punct cu un protocol javascript , si restul scrisului il fac in albastru cu underlineAvantaje:-scrisul o sa fie la fel , unde numai punctul la sfarsit are un protocol javascriptSau la un vector normal (care nu executa alert) adauga un <div a= , de exemplu:"><noscript></noscript><div a="Avantaje:-nu malformeaza restul codului,datoriva tag-ul <div>-nu atrage atentie prin interactiunea user-uluiDaca aveti alte modalitati de a ramane "sub radar" sau daca doriti sa va pronuntati va invit la un reply la thread-ul meuUpdate:Un alt smiley : ( :"> blushing) dar cu spatiu sa nu il inlocuiasca : "> Edited July 21, 2013 by Domnul.Do Quote
