HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Есть вопрос
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 07.09.2013, 19:23
KanapizZ
Guest
Сообщений: n/a
Провел на форуме:
1194

Репутация: 0
По умолчанию
Вообщем. Есть сайт, там код страницы примерно такой

при етом переменка $u как то там фильтруется (екранирует кавычки так \' и \")

Можно ли произвести какую либо атаку? Мне не для зла а чисто для опыта
 
Ответить с цитированием

  #2  
Старый 07.09.2013, 19:42
XAMEHA
Новичок
Регистрация: 15.05.2010
Сообщений: 0
Провел на форуме:
2268

Репутация: 0
По умолчанию
Это XSS, одна из клиентских уязвимостей - теория здесь очень большая, статьей очень мало, и в них в основном рассматривается самый простой и не очень эффективный метод атаки - угон куков Экранирование кавычек в этом случае совершенно не имеет значения

Что-бы защитится здесь, нужно преобразовывать > и [B]
 
Ответить с цитированием

  #3  
Старый 07.09.2013, 19:49
KanapizZ
Guest
Сообщений: n/a
Провел на форуме:
1194

Репутация: 0
По умолчанию
Я понимаю что ето хсс. Но я имею в виду можно ли произвести атаку какую либо например подставить '.eval(phpinfo()).' но кавычки заэкранируются. Есть выход?
 
Ответить с цитированием

  #4  
Старый 07.09.2013, 19:50
5CAbuseHost
Guest
Сообщений: n/a
Провел на форуме:
0

Репутация: 0
По умолчанию
атака только если на сайте живой админ можно ему заслать код который пароль сменит или куки тебе отошлёт
 
Ответить с цитированием

  #5  
Старый 07.09.2013, 19:56
KanapizZ
Guest
Сообщений: n/a
Провел на форуме:
1194

Репутация: 0
По умолчанию
Прочитайте пожалуйсто внимательно 1 и 3 пост...
 
Ответить с цитированием

  #6  
Старый 07.09.2013, 20:00
5CAbuseHost
Guest
Сообщений: n/a
Провел на форуме:
0

Репутация: 0
По умолчанию
сам и прочитай свой первый пост я тебе написал что можно сделать включи мозг если тыква внутри не пустая
 
Ответить с цитированием

  #7  
Старый 07.09.2013, 20:01
KanapizZ
Guest
Сообщений: n/a
Провел на форуме:
1194

Репутация: 0
По умолчанию
За мой счет сходишь к окулисту, ок?
 
Ответить с цитированием

  #8  
Старый 07.09.2013, 20:07
5CAbuseHost
Guest
Сообщений: n/a
Провел на форуме:
0

Репутация: 0
По умолчанию
лучше за мой счёт дырку в голове заделай
 
Ответить с цитированием

  #9  
Старый 07.09.2013, 20:07
Konqi
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094

Репутация: 672


Отправить сообщение для Konqi с помощью ICQ
По умолчанию
никакого исполнения кода там не может быть впринципе, php читает твою переменную "c" как строку, а не как исполняемый код, и это логично
 
Ответить с цитированием

  #10  
Старый 07.09.2013, 20:12
KanapizZ
Guest
Сообщений: n/a
Провел на форуме:
1194

Репутация: 0
По умолчанию
Ну так мб site.ru/?c='.eval(phpinfo()).'
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ