+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Communauté (https://dev.n-pn.fr/forum/forumdisplay.php?fid=10)
+--- Forum : Le bistrot (https://dev.n-pn.fr/forum/forumdisplay.php?fid=17)
+--- Sujet : XSS challenge x4 (/showthread.php?tid=2887)
XSS challenge x4 - Shirobi - 08-04-2013
Salut, pour les amateurs de XSS, je vous propose 4 défis concernant cette faille que j'ai faite moi même pour mon site
. Les voici (lien direct)
http://challenges.altervista.org/viewchall.php?id=21
http://challenges.altervista.org/viewchall.php?id=22
http://challenges.altervista.org/viewchall.php?id=25 (bien pimenté celle la ^^)
et enfin: http://challenges.altervista.org/viewchall.php?id=30
Voili voilou, a+!
RE: XSS challenge x4 - Swissky - 08-04-2013
Je me suis pas encore inscrit mais ça va pas tarder
Merci pour ces petits challenges qui vont probablement m'occuper un bon moment ^^
RE: XSS challenge x4 - Shirobi - 08-04-2013
Bon, ils sont pas du tout réaliste c'est plutot du genre
if ($_POST['commentaire'] == "blabla")
{
alors blabla
}
Donc tu vois le truc xD, pas de choses intéressantes dans le code html etc...
Dans la description il est marqué un truc précis à faire, donc les balises html autre que <script></script>
bye bye ^^
RE: XSS challenge x4 - InstinctHack - 09-04-2013
@Shirobi
Deux reset c'est tuer l'envie d'essayer
RE: XSS challenge x4 - Shirobi - 09-04-2013
(09-04-2013, 07h27)InstinctHack a écrit : @Shirobi
Deux reset c'est tuer l'envie d'essayer
J'ai pas bien compris t'as phrase, comment ça deux reset?
RE: XSS challenge x4 - InstinctHack - 09-04-2013
Bah pour le classement, il y as déjà eu 2 reset, c'est chiant pour ceux qui essayent de les faire de voir la progression perdue.
et un petit fail ici http://challenges.altervista.org/classement.php?page=4
RE: XSS challenge x4 - Shirobi - 09-04-2013
Ah non, tkt, c'est juste que j'avais ajouté les challenges résolus dans l'index, le pb c'est que j'avais prit l’ancien index qui n'était pas modifié ^^. Je rectifie ça ce soir, no pb
RE: XSS challenge x4 - Hypnoze57 - 09-04-2013
Les challenges XSS ne sont pas réaliste.. Comment veux tu exécuter une xss si le résultat de ta requête n'est pas afficher sur ta page? Même si le texte s'insère dans une bdd, tant qu'il n'est pas interpréter sur une page, la xss n'existera pas.. Corriger moi si je me trompe !
RE: XSS challenge x4 - InstinctHack - 09-04-2013
tu as à moitié raison (ou tort à toi de voir :p )
Oui, la xss n'existeras pas, mais elle seras """detecter""" (les quotes signifie qu'elle n'est detecter que si elle as une forme très définie)
et le challenge consiste à faire detecter notre commentaire comme une xss, mais effectivement elle ne seras pas éxécuter.
RE: XSS challenge x4 - Shirobi - 09-04-2013
Je vous promets de vous coder ça en mieux pour plus tard!
RE: XSS challenge x4 - InstinctHack - 09-04-2013
Code PHP :
if(strip_tags($_POST['data'])!=$_POST['data']) echo "insertion de code html";