 |
|
24.06.2020, 23:58
|
|
Постоянный
Регистрация: 12.02.2012
Сообщений: 300
С нами:
7499126
Репутация:
24
|
|
Работает, но делал все полностью аналогично как и в первый раз(по скринам видно думаю), вопрос наверное выглядел странным, но я действительно так и не понял почему данный модуль не работал вначале.
|
|
|
06.09.2020, 18:14
|
|
Moderator - Level 7
Регистрация: 05.11.2007
Сообщений: 894
С нами:
9744746
Репутация:
1474
|
|
Такой вопрос. Делается сайт. Там есть поля куда юзеры могут вносить тексты. Есть поля где вносятся только десятичные цифры
Как правильно сделать? Экранировать все что можно или как?
Например, если вместо ">alert()
ввести это зашифрованое в двоичном коде 10001011111011110011100111100011111001011010011110 00011101001111101100001110110011001011110010111010 01010001010011111001011111110011110001111100101101 00111100001110100111110
Такая конструкция сможет сработать?
Или ставить скрипт который фильтрует комбинации?
|
|
|
|
06.09.2020, 18:35
|
|
Участник форума
Регистрация: 23.03.2017
Сообщений: 265
С нами:
4812086
Репутация:
119
|
|
Сообщение от оlbaneс
↑
Такой вопрос. Делается сайт. Там есть поля куда юзеры могут вносить тексты. Есть поля где вносятся только десятичные цифры
Как правильно сделать? Экранировать все что можно или как?
Например, если вместо ">alert()
ввести это зашифрованое в двоичном коде 10001011111011110011100111100011111001011010011110 00011101001111101100001110110011001011110010111010 01010001010011111001011111110011110001111100101101 00111100001110100111110
Такая конструкция сможет сработать?
Или ставить скрипт который фильтрует комбинации?
Такая конструкция сработает, если у тебя на сайте происходит преобразование в обычный текст и вывод на экран.
Если инпут подразумевает только числа, то фильтруй его от всего остального специально предназначенными для этого функциями
|
|
|
|
09.02.2021, 17:03
|
|
Новичок
Регистрация: 28.07.2020
Сообщений: 21
С нами:
3050966
Репутация:
0
|
|
Подскажите, что можно сделать в этой ситуации?
Заливается без проблем:
Админер к примеру тоже. Но если пробую залить шелл, получаю 403.
Код:
Forbidden
You don't have permission to access this resource.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
|
|
|
|
10.02.2021, 14:08
|
|
Постоянный
Регистрация: 18.03.2016
Сообщений: 663
С нами:
5344886
Репутация:
441
|
|
Сообщение от polzunki
↑
Но если пробую залить шелл, получаю 403.
Скорее всего срабатывает WAF, нужно обфусцировать исходный код.
|
|
|
|
10.03.2021, 00:09
|
|
Новичок
Регистрация: 17.05.2019
Сообщений: 1
С нами:
3681686
Репутация:
0
|
|
Сообщение от polzunki
↑
Но если пробую залить шелл, получаю 403.
Поди, WSO лить пытался? Из вариантов: zip/tar с последующей распаковкой; curl/wget; обфускация (или шелл попроще).
|
|
|
|
17.04.2021, 01:33
|
|
Постоянный
Регистрация: 08.07.2015
Сообщений: 501
С нами:
5710646
Репутация:
24
|
|
Не могу выполнить XSS, Помогите
Пробовал создать 2 обьекта с функцией zxc(), не прокатывает вызов до создания
|
|
|
|
19.05.2021, 02:38
|
|
Постоянный
Регистрация: 08.07.2015
Сообщений: 501
С нами:
5710646
Репутация:
24
|
|
Очень круто сделано на hackerone.com при сбросе пароля для любой почты пишет что ссылка отправлена, это позволяет не палить зарегана почта или нет у них.
Но как быть с формой регистраций что выводить если почта занята?
|
|
|
|
19.05.2021, 02:47
|
|
Постоянный
Регистрация: 18.03.2016
Сообщений: 663
С нами:
5344886
Репутация:
441
|
|
Сообщение от Octavian
↑
Но как быть с формой регистраций что выводить если почта занята?
Отвечать так же - всё ок, а на почту слать месседж, что не стоит пытаться зарегаться повторно и правильным делом будет воспользоваться восстановлением пароля. Ну и на всякий случай, линк на заморозку аккаунта, если идет какой-то мухлёж.
|
|
|
|
19.05.2021, 03:51
|
|
Постоянный
Регистрация: 08.07.2015
Сообщений: 501
С нами:
5710646
Репутация:
24
|
|
В каких случаях prepared statements могут не защитить от SQL Injection?
|
|
|
|
|
|
|
|
Здесь присутствуют: 2 (пользователей: 0 , гостей: 2)
|
|
|
|
Похожие темы
Линейный вид
