Как определить фильтр ?

Discussion in 'Песочница' started by Mo4x, 24 Apr 2008.

  1. Mo4x

    Mo4x VX-эпоха перемен

    Joined:
    18 Feb 2007
    Messages:
    369
    Likes Received:
    194
    Reputations:
    -21
    Обход фильтрации ?

    Есть один сайт на нем фильтруется символы < >' " как узнать какими другими знаками он заменяется.
    Иле что можно делать если фильтруются символы ?
     
    #1 Mo4x, 24 Apr 2008
    Last edited: 27 Apr 2008
  2. freddi

    freddi Elder - Старейшина

    Joined:
    5 Jul 2006
    Messages:
    399
    Likes Received:
    243
    Reputations:
    145
    смотри код страницы, для замены фильтрующихся символов используй кодирование.
    http://ha.ckers.org/xss.html
     
    #2 freddi, 25 Apr 2008
  3. Mo4x

    Mo4x VX-эпоха перемен

    Joined:
    18 Feb 2007
    Messages:
    369
    Likes Received:
    194
    Reputations:
    -21
    freddi
    пасибо , а есть ли какие нибуть дополнительные обходы
    фильтрации в веб приложениях для xss атак кроме кодирования .
     
    #3 Mo4x, 27 Apr 2008
    Last edited: 27 Apr 2008
  4. Spyder

    Spyder Elder - Старейшина

    Joined:
    9 Oct 2006
    Messages:
    1,388
    Likes Received:
    1,209
    Reputations:
    475
    попробуй через пост отправить, мб только гет запросы фильтрует
    была на ачате тузла от мэднета
     
    #4 Spyder, 28 Apr 2008
  5. gibson

    gibson Elder - Старейшина

    Joined:
    24 Feb 2006
    Messages:
    391
    Likes Received:
    247
    Reputations:
    88
    http://gibs0n.name/tools/madpost.php

    нужно знать как идет запрос к бд
    если фильтруется ' то за запрос в ковычках ты никак не вылезешь
    мне так кажется что используется
    htmlspecialchars($same_shit,ENT_QUOTES);
     
    #5 gibson, 28 Apr 2008
(You must log in or sign up to post here.)