Hola e estado practicando y e dado que con htmlentities() evita que se utilizen codigo html en un formulario evitando asi un xss me gustaria saber si hay una forma de explotarlo e leido en google y me a salido que esta en utf y hay que ponerlo asi lo e puesto pero no funciona e intentado algunas formas que e buscado y filtros tambien pero nada...
$p= htmlentities($_POST['forulario']);
echo $p
Saludos y disculpen mi idnorancia...
Aquí (http://foro.elhacker.net/nivel_web/bypass_de_htmlentities-t251657.0.html;msg1215314#msg1215314) te lo explica bien el amigo WHK ;)
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Aquí (http://foro.elhacker.net/nivel_web/bypass_de_htmlentities-t251657.0.html;msg1215314#msg1215314) te lo explica bien el amigo WHK ;)
Muchas Gracias por responder, Si este fue el que segui:
+ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4-
puse esa pero no me funcione probe algunas mas pero tampoco por eso preguntaba pero voy a leerlo de nuevo talvez omiti algo..
Gracias saludos..
Si no te funciono es porque el juego de caracteres que esta utilizando la web no es UTF-7.
Una forma de explotarlo correctamente, es buscar bug en la funcion htmlentities. Puedes buscarlo por la web, tomando en cuenta la version de PHP que esta corriendo en el servidor.
Por ejemplo, un bug en la función htmlspecialcharacters() .
http://foro.elhacker.net/bugs_y_exploits/php_htmlspecialcharacters_malformed_multibyte_character_xss-t281271.0.html;msg1386344#new
Lo mejor que puedes hacer es centrarte en buscar errores logicos.
Saludos.