## En faisant un tour sur le site d'un ami hebergé par webobo.com je tombe par hasard sur un lien auquel j'ajoute un script ( url+script ) et on a la possibilité d'écrire sur le serveur ##
exemple -> [http://site.webobo.com/rubrique.php?id_menu=<A HREF="javascript:document.location='http://www
.google.com/'">Petite XSS Découverte par SOLID-SCORP</A> ]
SACHANT QUE RUBRIQUE MARQUée SUR L'Url peut Etre : " jeux " / " photos " ... etc ;)
Solution
#########
<?php
$variable_html = '<b>Ceci est une variable qui contient du HTML</b>';
Si on affiche la valeur de la variable : $variable_html le code html sera exécuté et donc "Ceci est une variable qui contient du HTML" sera affiché en gras. Par contre si on affiche la valeur de la deuxième variable : <b> Ceci est une variable qui contient du HTML</b> sera affiché sans que le code ne s'exécute.
Site officiel : http://www.webobo.com
Auteur : anasmaslouhy gmail com [ SOLID SCORP ]
Description FR :
## En faisant un tour sur le site d'un ami hebergé par webobo.com je tombe par hasard sur un lien auquel j'ajoute un script ( url+script ) et on a la possibilité d'écrire sur le serveur ##
exemple -> [http://site.webobo.com/rubrique.php?id_menu=<A HREF="javascript:document.location='http://www
.google.com/'">Petite XSS Découverte par SOLID-SCORP</A> ]
SACHANT QUE RUBRIQUE MARQUée SUR L'Url peut Etre : " jeux " / " photos " ... etc ;)
Solution
#########
<?php
$variable_html = '<b>Ceci est une variable qui contient du HTML</b>';
$variable_sans_html = htmlentities ($variable_html) ;
?>
Si on affiche la valeur de la variable : $variable_html le code html sera exécuté et donc "Ceci est une variable qui contient du HTML" sera affiché en gras. Par contre si on affiche la valeur de la deuxième variable : <b> Ceci est une variable qui contient du HTML</b> sera affiché sans que le code ne s'exécute.
[ reply ]