ثريد
Bypass htmlentities & htmlspecialchars
[خطا برمجي ]
الڤنكشن يحمينا من ثغرات XSS
[Cross-site scripting]
و وظيفته بكل بساطة يحول ><
إلى
<> > ليحمي الموقع من XSS
====
نبدأ نكتب كود بسيط نعرف اي الرموز يتم فلترته
يتبع.. #الامن_السيبراني #BugBounty
Bypass htmlentities & htmlspecialchars
[خطا برمجي ]
الڤنكشن يحمينا من ثغرات XSS
[Cross-site scripting]
و وظيفته بكل بساطة يحول ><
إلى
<> > ليحمي الموقع من XSS
====
نبدأ نكتب كود بسيط نعرف اي الرموز يتم فلترته
يتبع.. #الامن_السيبراني #BugBounty
![ثريد
Bypass htmlentities & htmlspecialchars
[خطا برمجي ]
الڤنكشن يحمينا من ثغرات XSS
[Cro...](https://pbs.twimg.com/media/FMBtVUTX0AEJxDi.jpg)
راح نحصل هذا الناتج :
تم فلترة [>< & "]
و نلاحظ أن رمز '/ ما تفلتر < وهنا يبدأ الاستغلال 😎
تم فلترة [>< & "]
و نلاحظ أن رمز '/ ما تفلتر < وهنا يبدأ الاستغلال 😎
![راح نحصل هذا الناتج :
تم فلترة [>< & "]
و نلاحظ أن رمز '/ ما تفلتر < وهنا يبدأ ال...](https://pbs.twimg.com/media/FMBtV_TXEAsbEzJ.jpg)
وفي هذا الحالة
لنفترض استخدم المبرمج
htmlentities Or htmlspecialchars
فالبتالي راح نقدر نحصل على xss 😌
لنفترض استخدم المبرمج
htmlentities Or htmlspecialchars
فالبتالي راح نقدر نحصل على xss 😌
نجرب ال [Payload]
'onerror='alert("XSS")''
تم تخطي الڤنكشن بمعنى اذا استخدم المبرمج single quotation في الكود نقدر نتخطى و نحصل على XSS
'onerror='alert("XSS")''
تم تخطي الڤنكشن بمعنى اذا استخدم المبرمج single quotation في الكود نقدر نتخطى و نحصل على XSS
![نجرب ال [Payload]
'onerror='alert("XSS")''
تم تخطي الڤنكشن بمعنى اذا استخدم المبرمج single quot...](https://pbs.twimg.com/media/FMBtXD3XIAINr5h.jpg)
![نجرب ال [Payload]
'onerror='alert("XSS")''
تم تخطي الڤنكشن بمعنى اذا استخدم المبرمج single quot...](https://pbs.twimg.com/media/FMBtXD6XMAQN8MT.jpg)
كيف أحمي موقعي 🛠 ؟ 🤔
نبدل [' ]الى [' ] و حذف [\]
Ex code :
نبدل [' ]الى [' ] و حذف [\]
Ex code :
![كيف أحمي موقعي 🛠 ؟ 🤔
نبدل [' ]الى [&apos; ] و حذف [\]
Ex code : https://t.co/yLTvVWTigl](https://pbs.twimg.com/media/FMBtXjRXsAQYN5C.jpg)
جاري تحميل الاقتراحات...