ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 13.10.2010, 01:00
biara
Новичок
Регистрация: 13.10.2010
Сообщений: 5
С нами: 8200406

Репутация: 0
По умолчанию

а вот вопрос:
если не отоброжаются в исходнике символа <> а вместо них кодировки.
&lt;/script&gt;alert('XSS')&lt
это считается как xss?
 
Ответить с цитированием

  #2  
Старый 13.10.2010, 01:00
Norton710
Постоянный
Регистрация: 03.04.2009
Сообщений: 354
С нами: 9003926

Репутация: 110
По умолчанию

biara, попробуй в юникод перевести или в hex.. может поможет) лично я с такой же проблеммой столкнулся..
 
Ответить с цитированием

  #3  
Старый 14.10.2010, 01:00
M@ZAX@KEP
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами: 8903558

Репутация: 60
По умолчанию

biara, нет, это не xss, всё в точности до наоборот)) Это замена символов на соответствующие им текстовые коды в html, чтобы они не выполнялись, а просто отображались на странице.
 
Ответить с цитированием

  #4  
Старый 14.10.2010, 01:00
Norton710
Постоянный
Регистрация: 03.04.2009
Сообщений: 354
С нами: 9003926

Репутация: 110
По умолчанию

M@ZAX@KEP, это возможно обойти? допустим сменой кодировки?
 
Ответить с цитированием

  #5  
Старый 15.10.2010, 01:00
M@ZAX@KEP
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами: 8903558

Репутация: 60
По умолчанию

Norton710, не сменой кодировки, а другими хитрыми манипуляциями... читай:
раз
два
ЗЫ честно скажу, что пока сам не во многом там разобрался))
 
Ответить с цитированием

  #6  
Старый 15.10.2010, 01:00
Norton710
Постоянный
Регистрация: 03.04.2009
Сообщений: 354
С нами: 9003926

Репутация: 110
По умолчанию

Пролистал все скрипты на обоих сайтах.. в каждом скрипте есть либо ><" ...
 
Ответить с цитированием

  #7  
Старый 16.10.2010, 01:00
M@ZAX@KEP
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами: 8903558

Репутация: 60
По умолчанию

Цитата:


что самый часто встречаемый фильтр - перекодировка символов ><" ...



Это простая функция в php:

code:

htmlspecialchars($string);

Добавлено через 1 минуту
Кстати, тоже щас задумался над этим, сижу листаю _http://www.google.com/search?q=обход+htmlspecialchars&ie=utf-8&oe=utf-8 ))

Добавлено через 7 минут
Не обнадёжило...((
 
Ответить с цитированием

  #8  
Старый 16.10.2010, 01:00
Norton710
Постоянный
Регистрация: 03.04.2009
Сообщений: 354
С нами: 9003926

Репутация: 110
По умолчанию

M@ZAX@KEP, прикольно.. тоесть XSS по всему сайту отпадает? Т.к. на каждой странице будет вбит скрипт на изменение <>" и обойти его никак нельзя =/

Но раз XSS жива, значит народ как-то обходит этот фильтр =) Имхо, надо искать скрипт, без использования " и <>.. я пару раз такие встречал, только внимание не обращал)

p.s. На хаккере нашел статью по XSS вакцинам
Вот что там пишут на эту тему:

Скрытый текст (вы должны быть авторизованы и иметь 1 сообщений):


У вас нет прав чтобы видеть скрытый текст, который находится здесь



ссылка - http://www.xakep.ru/magazine/xs/075/050/1.asp

Я так понимаю что речь идёт про условия (если то-то, то делать то-то), но как это помогает обойти фильтр? О.о Лично я недопонял =/
 
Ответить с цитированием

  #9  
Старый 19.10.2010, 01:00
8serega8
Новичок
Регистрация: 18.10.2010
Сообщений: 15
С нами: 8193206

Репутация: -1
По умолчанию

на файл base.txt права 777 не забываем ставить

Ето тип в этом текстовом документе,заместь карлючек тех написать 777
 
Ответить с цитированием

  #10  
Старый 19.10.2010, 01:00
M@ZAX@KEP
Участник форума
Регистрация: 11.06.2009
Сообщений: 159
С нами: 8903558

Репутация: 60
По умолчанию

8serega8, нет, нужно установить права доступа на хостинге к этому файлу равными 777. У себя на компе ты этого не найдёшь, поймёшь когда зальёшь файл на хост.
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.