Форум АНТИЧАТ - Маскировка get запроса

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)

- - Маскировка get запроса (https://forum.antichat.xyz/showthread.php?t=357561)

blacktrack

26.10.2012 10:57

Есть ли сбособ сокрытия части get запроса в логах апатча? чтобы максимально скрыть приминение xss.

post нельзя применить.

BigBear

26.10.2012 19:57

Если на сервере есть уязвимость типа HTTP Parameter Pollution то вполне можно попытаться

Например - XSS выглядит так

site.com/?id=alert(100)&info=index&mask=qwert

Применим HPP и получим строку в

site.com/?id=&info=index&id=alert(100)&mask=qwert&id=

blacktrack

26.10.2012 20:52

HPP: ?id=&info=index&id=alert(100)&mask=qwert&id=

простое замусоривание: ?id="&info=index&id=";alert(100);"&mask=qwert&id=" ;

разницы наверное не много будет, тогда уж можно и просто заurlencodить

мб есть что нибудь под iis?

Van[ya]

29.10.2012 15:43

Пиши в лс помогу.

//для этого есть личная почта

//нечего засорять форум

//BB

Время: 22:03