dead_silyutls

بابت پاسخ ممنون امکانش هست از این عبارات منظم و متا کاراکترهای که میگی یه نمونش رو بگید که قابل استفاده باشه برای این کد ؟

سلام خدمت تمامی دوستان عزیز دوستان یک تارگتی دارم که دارای باگ xss هست و یه فیلتر اعمال کرده خواستم ببینم ایا راهی یا پیشنهادی برای بایپسش سراغ دارد ؟ کدی که ورودی اسیب پذیر رو فیلتر میکنه رو در زیر قرار میدم: static function string($str){ $str = trim($str); $str = str_replace(array('\\', '\'', '"', '<', '>', '[/url]', '[url]', '[img=', ']', '[/URL]', '[URL]', '[IMG=', ']', '[url=', ' '), "", $str); $str = htmlentities($str , ENT_QUOTES |ENT_IGNORE, 'UTF-8'); $str = html_entity_decode($str, ENT_COMPAT | ENT_XHTML, 'utf-8'); if(preg_match('/\[url\]|\[img\]/i', $str)){ return false; } return($str); }

با تشکر از شما دوست خوبم از اینکه جواب دادید و به وجود دوستان امیدوار شدیم ممنونم. دوست خوبم قبلا این سایت رو بررسی کردم ویکبار دستی و چندین بار با ربات تمام این متدهای که گذاشته رو تست زدم متاسفانه همه این متدها دارای علامت < یا > می باشد که سایت مورد نظر این مورد رو فیلتر میکنه و همونطور که قبلا خدمتتون عرض کردم کلا این دوتا علامت رو حذف میکنه یه تعدادی متد دیگر در سایت وجود داشت که اونا این علامت رو نداشتن ک اصلا کار نکرد. حالا میدونم شاید متدی برای این مورد نباشه شایدم هست هنوز پاب نشده ولی من الان میتونم کوکی های مدیر سایت رو بگیرم و بعنوان مدیر سایت وارد بشم مشکلی که اینجاست اینکه غیر از کوکی یه توکن هم هست که من دسترسی به اون توکن ندارم و عملا با کوکی های ادمین نمیشه کاری از پیش برد تا زمانی که این توکن رو نداشته باشی این توکن هم در خود صفحه html سایت ذخیره میشه ایا راهی هست این توکن رو بدست اورد ؟

سلام خدمت دوستان عزیز دوستان در حال تست روی یک تارگتی هستم که دارای باگ xss هست این تارگت وقتی کدهای جاوا اسکریپت رو بهش تزریق میکنی تاثیر خودش رو نشون میده ولی وقتی که این کد تو دیتابیس ثبت میشه عمل فیلتر روش صورت میگیره و غیر فعال میشه پس باگ از نوع reflected یا بازتابی هست . این غیر فعال شدن به این صورت هست که فقط علامت بزرگتر و کوچیکتر فیلتر میشه و پاک میشه ! یعنی تو هر کدی که علامت < یا > وجود داشته باشه حذف میشه ! ایا دوستان برای نفوذ به این تارگت روش یا بایپس خاصی سراغ دارند ؟

سلام. لینک خرابه لطف کنید اصلاحش کنید.

سلام این چت ر‌وم ها به تناسب طراح امنیت متفاوتی داره و نمیشه بگیم که چه باگ های براش وجود داره مگه اینکه بررسی بشه اون چت روم‌ مورد نظر. در مورد ترفندا هم که زیادن میتونی با یه سری اسکریپت خیلی کارا رو این چرت روما انجام داد.

سلام متوجه منظورتون نشدم این خط کد در cmd دقیقا چه کاری رو انجام میده خروجی که بنده از این کد گرفتم بیشتر به یک help شبیه بود؟

سلام دوست عزیز متاسفانه با وصل مستقیم کابل به مودم و زدن ای پی بازم نتونستم وارد تنظیمات مودم بشم . پیشنهاد دیگه ای ندارید ؟

با تشکر از پاسخ دوستان متاسفانه قبلا اینکارها رو انجام دادم ولی متاسفانه نه ای پی های که در قسمت ipconfig نمایش داده شده وارد تنظیمات مودم میشه و نه myip موجود در گوگل و همچنین هیچ فیلترشکن یا نرم افزار تغییر ای پی استفاده نمیکنم. دوستان پیشنهاد دیگه ای دارید ؟