Маскировка get запроса

Discussion in 'Песочница' started by blacktrack, 26 Oct 2012.

  1. blacktrack

    blacktrack New Member

    Joined:
    8 Jul 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Есть ли сбособ сокрытия части get запроса в логах апатча? чтобы максимально скрыть приминение xss.
    post нельзя применить.
     
    #1 blacktrack, 26 Oct 2012
  2. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Если на сервере есть уязвимость типа HTTP Parameter Pollution то вполне можно попытаться

    Например - XSS выглядит так

    site.com/?id=<script>alert(100)</script>&info=index&mask=qwert

    Применим HPP и получим строку в

    site.com/?id=<script>&info=index&id=alert(100)&mask=qwert&id=</script>
     
    _________________________
    #2 BigBear, 26 Oct 2012
  3. blacktrack

    blacktrack New Member

    Joined:
    8 Jul 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    HPP: ?id=<script>&info=index&id=alert(100)&mask=qwert&id=</script>
    простое замусоривание: ?id=<script>"&info=index&id=";alert(100);"&mask=qwert&id=";</script>
    разницы наверное не много будет, тогда уж можно и просто заurlencodить
    мб есть что нибудь под iis?
     
    #3 blacktrack, 26 Oct 2012
    Last edited: 26 Oct 2012
  4. Van[ya]

    Van[ya] New Member

    Joined:
    7 Oct 2012
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Пиши в лс помогу.

    //для этого есть личная почта
    //нечего засорять форум

    //BB
     
    #4 Van[ya], 29 Oct 2012
    Last edited by a moderator: 29 Oct 2012
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.