HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
Перезагрузить страницу [Задай Вопрос - Получи Ответ]
   
Ответ
Страница 83 из 86 « Первая < 3373 79 80 81 82 83 84 85 86 >
 
Опции темы Поиск в этой теме Опции просмотра

  #821  
Старый 24.06.2020, 23:58
tester_new
Guest
Сообщений: n/a
Провел на форуме:
108975

Репутация: 24
По умолчанию
Работает, но делал все полностью аналогично как и в первый раз(по скринам видно думаю), вопрос наверное выглядел странным, но я действительно так и не понял почему данный модуль не работал вначале.
 
Ответить с цитированием

  #822  
Старый 06.09.2020, 18:14
оlbaneс
Moderator - Level 7
Регистрация: 05.11.2007
Сообщений: 894
Провел на форуме:
5609275

Репутация: 1474


По умолчанию
Такой вопрос. Делается сайт. Там есть поля куда юзеры могут вносить тексты. Есть поля где вносятся только десятичные цифры

Как правильно сделать? Экранировать все что можно или как?

Например, если вместо ">alert()

ввести это зашифрованое в двоичном коде 10001011111011110011100111100011111001011010011110 00011101001111101100001110110011001011110010111010 01010001010011111001011111110011110001111100101101 00111100001110100111110

Такая конструкция сможет сработать?

Или ставить скрипт который фильтрует комбинации?
 
Ответить с цитированием

  #823  
Старый 06.09.2020, 18:35
Тот_самый_Щуп
Guest
Сообщений: n/a
Провел на форуме:
47768

Репутация: 119
По умолчанию
Цитата:
Сообщение от оlbaneс  
оlbaneс said:

Такой вопрос. Делается сайт. Там есть поля куда юзеры могут вносить тексты. Есть поля где вносятся только десятичные цифры
Как правильно сделать? Экранировать все что можно или как?
Например, если вместо ">alert()
ввести это зашифрованое в двоичном коде 10001011111011110011100111100011111001011010011110 00011101001111101100001110110011001011110010111010 01010001010011111001011111110011110001111100101101 00111100001110100111110
Такая конструкция сможет сработать?
Или ставить скрипт который фильтрует комбинации?
Такая конструкция сработает, если у тебя на сайте происходит преобразование в обычный текст и вывод на экран.

Если инпут подразумевает только числа, то фильтруй его от всего остального специально предназначенными для этого функциями
 
Ответить с цитированием

  #824  
Старый 09.02.2021, 17:03
polzunki
Guest
Сообщений: n/a
Провел на форуме:
7210

Репутация: 0
По умолчанию
Подскажите, что можно сделать в этой ситуации?

Заливается без проблем:

Код:
Code:
Админер к примеру тоже. Но если пробую залить шелл, получаю 403.

Код:
Code:
Forbidden

You don't have permission to access this resource.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
 
Ответить с цитированием

  #825  
Старый 10.02.2021, 14:08
crlf
Guest
Сообщений: n/a
Провел на форуме:
169212

Репутация: 441
По умолчанию
Цитата:
Сообщение от polzunki  
polzunki said:

Но если пробую залить шелл, получаю 403.
Скорее всего срабатывает WAF, нужно обфусцировать исходный код.
 
Ответить с цитированием

  #826  
Старый 10.03.2021, 00:09
m0ze
Guest
Сообщений: n/a
Провел на форуме:
286

Репутация: 0
По умолчанию
Цитата:
Сообщение от polzunki  
polzunki said:

Но если пробую залить шелл, получаю 403.
Поди, WSO лить пытался? Из вариантов: zip/tar с последующей распаковкой; curl/wget; обфускация (или шелл попроще).
 
Ответить с цитированием

  #827  
Старый 17.04.2021, 01:33
Octavian
Guest
Сообщений: n/a
Провел на форуме:
97114

Репутация: 24
По умолчанию
Не могу выполнить XSS, Помогите

Пробовал создать 2 обьекта с функцией zxc(), не прокатывает вызов до создания
 
Ответить с цитированием

  #828  
Старый 19.05.2021, 02:38
Octavian
Guest
Сообщений: n/a
Провел на форуме:
97114

Репутация: 24
По умолчанию
Очень круто сделано на hackerone.com при сбросе пароля для любой почты пишет что ссылка отправлена, это позволяет не палить зарегана почта или нет у них.

Но как быть с формой регистраций что выводить если почта занята?
 
Ответить с цитированием

  #829  
Старый 19.05.2021, 02:47
crlf
Guest
Сообщений: n/a
Провел на форуме:
169212

Репутация: 441
По умолчанию
Цитата:
Сообщение от Octavian  
Octavian said:

Но как быть с формой регистраций что выводить если почта занята?
Отвечать так же - всё ок, а на почту слать месседж, что не стоит пытаться зарегаться повторно и правильным делом будет воспользоваться восстановлением пароля. Ну и на всякий случай, линк на заморозку аккаунта, если идет какой-то мухлёж.
 
Ответить с цитированием

  #830  
Старый 19.05.2021, 03:51
Octavian
Guest
Сообщений: n/a
Провел на форуме:
97114

Репутация: 24
По умолчанию
В каких случаях prepared statements могут не защитить от SQL Injection?
 
Ответить с цитированием
Ответ
Страница 83 из 86 « Первая < 3373 79 80 81 82 83 84 85 86 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Задай Вопрос - Получи Ответ] ZAMUT Сценарии/CMF/СMS 316 08.06.2010 09:56
Интернетчики задали российскому президенту очень странные вопросы podkashey Мировые новости. Обсуждения. 4 07.07.2006 16:53
Простой вопрос про сниффер errou PHP 15 30.01.2006 20:54



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ