https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:19 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#c3106 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=950 nospam@example.com (Paweł Goleń) Ekhm, przecież to chodzi o XSS, a nie o to, by przy tworzeniu stron z rozmysłem tagów niedomykać... Thu, 02 Dec 2010 12:06:57 +0100 https://archive.mroczna-zaloga.org/archives/950-guid.html#c3106 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#c3105 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=950 nospam@example.com (Łukasz Nozdrzykowski) Oki, ale wg mnie lepiej zamykać i trzymać się zasad. Kiedyś się okaże, że coś nie chwyta (przeglądarka) i będzie problem z poprawianiem. Wed, 01 Dec 2010 23:13:07 +0100 https://archive.mroczna-zaloga.org/archives/950-guid.html#c3105 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#c3100 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=950 nospam@example.com (Paweł Goleń) ...i właśnie załapałeś się na zaawansowaną funkcję oczyszczania komentarzy z HTML :) Wed, 01 Dec 2010 17:22:43 +0100 https://archive.mroczna-zaloga.org/archives/950-guid.html#c3100 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#c3099 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=950 nospam@example.com (Krzysztof Kotowicz) Heh, no i ucięło XSS-a ;) chodziło o (oczywiście trzeba zastąpić nawiasy odpowiednimi znaczkami): [img [iframe ="1" onerror="alert(1)"] Powyższy payload lubi zawiesić niektóre filtry antixssowe (wpadają w nieskończoną pętlę i alokują max. pamięci). Ostatnimi czasy najciekawsze payloady znajduje Gareth Heyes - warto np. zobaczyć http://www.thespanner.co.uk/2010/11/25/breaking-html-parsers-for-fun/ Wed, 01 Dec 2010 17:22:41 +0100 https://archive.mroczna-zaloga.org/archives/950-guid.html#c3099 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#c3098 https://archive.mroczna-zaloga.org/archives/950-bootcamp-xxiv-tagow-nie-trzeba-zamykac.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=950 nospam@example.com (Krzysztof Kotowicz) Z tym zamykaniem tagów jest o wiele ciekawiej :) Okazuje się, że Firefox jest tu najbardziej liberalny i działa np. coś takiego: Wed, 01 Dec 2010 17:18:21 +0100 https://archive.mroczna-zaloga.org/archives/950-guid.html#c3098