Jednoduchý popis techniky: JavaScript Injection (c) PCBlog.sk

  • WallPapers
  • HTML
  • Prevody jednotiek
  • Internet
  • Praca IN

Navigácia

    Posledné články

    • Ako urobiť z linkov v code živé linky (pre Firefox a Operu)
    • Volanie zadarmo cez zlatestranky.sk
    • Zoznam freehostingov so subdomenami
    • Vytvorenie CS 1.6 servera zdarma
    • Free SMS cez internet
    • Spider-Man: Web of Shadows
    • Európski poslanci chcú chrániť deti pred zneužitím na internete
    • Facebook hostuje až desať miliárd fotografií
    • V USA majú nový anti-pirátsky zákon
    • Apple odhalí nové MacBooky 14. októbra

    Odkazy inde

    Pcblog.sk

Jednoduchý popis techniky: JavaScript Injection

Krátky popis techniky: JavaScript Injection. Článok neskôr updatnem

Krátky popis techniky: JavaScript Injection. Článok neskôr updatnem

JavaScript dávame namiesto url-adresy, takže namiesto http://www.adresa.sk/ napíšeme javascript:alert("hello")

Čo tento JavaScript spôsobil ? Prehliadač ho spracoval a vyhodil obyčajné alert okno z textom vložením v úvodzovkách pozn. Každá JS injection musí začínať tým javascript:

Teraz je tu otázka: Na čo použijem JavaScript na stránke ? A teraz je tu odpoveď :D: Napríklad na cookies... javascript:alert(document.cookie) Čo sa stalo? Tento script odobral cookies stránky ktorú si práve prezeráš

javascript:void(..) predstavíme si že v cookie mame uložený nasledovný text user=godhell

Zo Zdrojového Kódu (ZK) vyčítame, že stránka sa generuje podľa toho, aké meno je zapísane v cookie. napr. Zaujíma nás user 'hacker25' javascript:void(document.cookie="user=hacker25");alert(document.cookie) ...

A teraz haluznejší príkad? form action="http://www.niekde.sk/mail.php" method="post" input type="hidden" name="to" value="niekto@nieco.sk"

Dajme tomu, že ide o prvú formičku v dokumente. To potom znamená, že má poradové číslo 0. No a pri troche námahy a zamyslenia zistíte o čo tu ide

javascript:alert(document.forms[0].to.value)

Tento príkaz by Vám vyhodil pop-up okno s textom niekto@nieco.sk, Takže s hodnotou [value] premennej "to" z formy s poradovým číslom 0,.. Môžeme predpokladať, že na tento mail sa budú čoskoro posielať nejaké dôverné informácie, no tie by sme chceli dostať my. javascript:void(document.forms[0].to.value="nick@mail.sk") a ešte lepšie takto: :)) javascript:void(document.forms[0].to.value="nick@mail.sk");alert(document.forms[0].to.value)

ico God.Hell | ico 23. červenece 08, 15:07

Související články

  • Zabezpečte si webovú stránku /XSS, Php a SQL Injection/ (15. červenece 08, 12:07)
  • SQL Injection: Ako je na tom môj web ? (25. červenece 08, 15:07)
  • Jednoduchý fake mailer (14. červenece 08, 10:07)
  • Jednoduchý chat v PHP (14. červenece 08, 10:07)
  • C#: Jednoduchý SMTP klient (15. červenece 08, 19:07)
  • Google Chrome - Jednoduchý ale Šikovný (8. září 08, 14:09)
  • Ako na jednoduchý upload obrázkov v PHP (23. červenece 08, 19:07)

Iné projekty

czechwebs.cz - Katalóg českých webov
slovakwebs.sk - Katalóg slovenských webov

© 2009 www.PCblog.sk Všetky práva vyhradené. | Prevádzkovateľ: VAVA SK, s.r.o. | Autor : Oldřich Šálek Zásady ochrany osobných údajov