Toggle sidebar

Обход фильтрации form email

mrtyrel

mrtyrel

Green Team
01.12.2018
79
44
Проверка валидности email в форме ввода создания аккаунта

Например
validate/email?address= // payload - " ¼script¾alert(¢XSS¢)¼/script¾ "

Проблема - мыло не проходит проверку на валидность

Запрещенные символы : ; <> \ " ()

Вопрос есть ли способы обойти такую фильтрацию?
 
Сортировать по дате Сортировать по голосам
у каждого сайта разные фильтры
 
За 0 Против
mrtyrel сказал(а):
Запрещенные символы : ; <> \ " ()

Вопрос есть ли способы обойти такую фильтрацию?
Нажмите, чтобы раскрыть...
Попробуйте обойти, преобразовав запрещенные символы в их коды.

Код: 
& --> &amp;
< --> &lt;
> --> &gt;
" --> &quot;
' --> &#x27;
/ --> &#x2F;
 
За 0 Против
Ты же хочешь обойти защиту от xss?
Значит могут подойти способы обхода защиты от xss.
Попробуй поискать варианты тут swisskyrepo/PayloadsAllTheThings
 
За 0 Против
larchik сказал(а):
Ты же хочешь обойти защиту от xss?
Значит могут подойти способы обхода защиты от xss.
Попробуй поискать варианты тут swisskyrepo/PayloadsAllTheThings
Нажмите, чтобы раскрыть...

Огромное спасибо топчик!

pp11 сказал(а):
Попробуйте обойти, преобразовав запрещенные символы в их коды.

Код: 
& --> &amp;
< --> &lt;
> --> &gt;
" --> &quot;
' --> &#x27;
/ --> &#x2F;
Нажмите, чтобы раскрыть...
Как называется эта кодировка?
 
За 0 Против
За 0 Против
на твоем месте, я бы собрал все запрещенные символы. бил бы не только инпуту, но и в адресную строку. бурп можно запустить, там смотреть как отправляется твои запросы и подменивать их. если все не помогает, посмотреть в js код, какая там функция и как она фильтрует то, что ты вводишь. про енкод декод обязательно нужно знать. & % - если эти символы не фильтруются, значит защитка хуевая))))
 
За 0 Против
s unity сказал(а):
на твоем месте, я бы собрал все запрещенные символы. бил бы не только инпуту, но и в адресную строку. бурп можно запустить, там смотреть как отправляется твои запросы и подменивать их. если все не помогает, посмотреть в js код, какая там функция и как она фильтрует то, что ты вводишь. про енкод декод обязательно нужно знать. & % - если эти символы не фильтруются, значит защитка хуевая))))
Нажмите, чтобы раскрыть...
& фильтр
% проходит
 
За 0 Против
mrtyrel сказал(а):
& фильтр
% проходит
Нажмите, чтобы раскрыть...
если бы ты дал ссылочку мне в лс, я бы глянул подробнее. а что ты получишь в итоге от xss? это будет слепая иньекция, ссылочкой на которую ты не сможешь поделиться. только если админ как-то нарвется на нее и выполнит твой код.
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

xzotique
  • Статья Статья
Статья XSS: Всё, что нужно знать
Ответы
2
Просмотры
3 тыс.
Безопасность веб-приложений
mapke
M
Luxkerr
  • Статья Статья
Статья XSS, CSRF и другие распространённые уязвимости веб-приложений
Ответы
0
Просмотры
1 тыс.
Безопасность веб-приложений
Luxkerr
Luxkerr
Luxkerr
  • Статья Статья
Статья Prototype Pollution: Client-side и Server-side атаки
Ответы
0
Просмотры
842
Анализ уязвимостей и исследования
Luxkerr
Luxkerr
samhainhf
  • Статья Статья
Статья Dalfox: Поиск и обнаружение XSS уязвимостей
Ответы
0
Просмотры
2 тыс.
Безопасность веб-приложений
samhainhf
samhainhf
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →

Популярный контент

🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab

Верх Низ
Назад