ثريد

Bypass htmlentities & htmlspecialchars

[خطا برمجي ]

الڤنكشن يحمينا من ثغرات XSS

[Cross-site scripting]

و وظيفته بكل بساطة يحول ><

إلى

<> > ليحمي الموقع من XSS

====

نبدأ نكتب كود بسيط نعرف اي الرموز يتم فلترته

يتبع.. #الامن_السيبراني #BugBounty https://t.co/rfP2r57iN8

راح نحصل هذا الناتج :

تم فلترة [>< & "]

و نلاحظ أن رمز '/ ما تفلتر < وهنا يبدأ الاستغلال ? https://t.co/Mz3oGKLmHr

وفي هذا الحالة

لنفترض استخدم المبرمج

htmlentities Or htmlspecialchars

فالبتالي راح نقدر نحصل على xss ? https://t.co/EVuTGPiuB6

نجرب ال [Payload]

'onerror='alert("XSS")''

تم تخطي الڤنكشن بمعنى اذا استخدم المبرمج single quotation في الكود نقدر نتخطى و نحصل على XSS https://t.co/h0JhvIFVm0

كيف أحمي موقعي ? ؟ ?

نبدل [' ]الى [' ] و حذف [\]

Ex code : https://t.co/yLTvVWTigl