и вновь прошу помощи) Весь день гуглю.

на сайте javascript выполняется на стороне клиента (т.е. моего браузера). У меня стоит Iceweasel (Firefox). Как мне на лету отредактировать скрипт ?

Знаю, что в хроме такое вроде бы возможно. А у меня со стандартным отладчиком и фаербагом не получается. HTML код я могу подменять на лету, сразу срабатывает. А вот скрипты правлять не дают.. только могу точки остановки для отладки включать. Но редактировать код - нельзя((( Может, что не правильно делаю. Объясните пожалуйста.

P.s. Нужно это вот для чего. На сайте есть форма для текста.Там стоят проверки в html на символы, против xss. Но они на стороне клиента. Поэтому я могу их выпилить. Аналогично, есть ещё доп. защита в виде обработки текста с помощью javascript. И тоже на стороне клиента. Соответственно, подредактировав его - я смогу запостить xss.

тоже изучал недавно эту проблему

всё что удалось нарыть на англоязычных ресурсах - firefox не разрешает править js сайта, в браузерах основанных на хромиуме - можно

в итоге обошёл проверку бурпом

Нужно это вот для чего. На сайте есть форма для текста.Там стоят проверки в html на символы, против xss. Но они на стороне клиента. Поэтому я могу их выпилить. Аналогично, есть ещё доп. защита в виде обработки текста с помощью javascript. И тоже на стороне клиента. Соответственно, подредактировав его - я смогу запостить xss.


Можно перезаписать обработчики событий - нажатия клавиш/onclick формы - т.е. в зависимости от того, когда срабатывает защита.

leksadin said:
↑ (https://antichat.live/posts/3942819/)
... А вот скрипты правлять не дают.. только могу точки остановки для отладки включать. Но редактировать код - нельзя((( Может, что не правильно делаю. Объясните пожалуйста.




H@rd said:
↑ (https://antichat.live/posts/3942889/)
Можно перезаписать обработчики событий - нажатия клавиш/onclick формы - т.е. в зависимости от того, когда срабатывает защита.


У меня для вас - плохие новости.

Цена на жижу упала ниже некуда, и эти потехи с XSS и JS - отменили ещё в 2001 году, в браузере Netscape.

http://ic.pics.livejournal.com/altblitz/1288674/70826/70826_original.jpg

если данные формы отправляются не через XMLHttpRequest() - отключи просто джаваскрипт у себя в браузере и отправляй

http://commons.oreilly.com/wiki/index.php/Greasemonkey_Hacks поможет?

private_static said:
↑ (https://antichat.live/posts/3942826/)
тоже изучал недавно эту проблему
всё что удалось нарыть на англоязычных ресурсах - firefox не разрешает править js сайта, в браузерах основанных на хромиуме - можно
в итоге обошёл проверку бурпом


Не хочется ставить хромы...

altblitz said:
↑ (https://antichat.live/posts/3942897/)
У меня для вас - плохие новости.
Цена на жижу упала ниже некуда, и эти потехи с XSS и JS - отменили ещё в 2001 году, в браузере Netscape.
http://ic.pics.livejournal.com/altblitz/1288674/70826/70826_original.jpg


Но хромиумы же это могут.

H@rd said:
↑ (https://antichat.live/posts/3942889/)
Можно перезаписать обработчики событий - нажатия клавиш/onclick формы - т.е. в зависимости от того, когда срабатывает защита.



Если не сложно - чуть-чуть подробнее, пожалуйста

Ins3t said:
↑ (https://antichat.live/posts/3942910/)
если данные формы отправляются не через XMLHttpRequest() - отключи просто джаваскрипт у себя в браузере и отправляй


не сработало( тогда вообще не отправляется пост.

grimnir said:
↑ (https://antichat.live/posts/3942933/)
http://commons.oreilly.com/wiki/index.php/Greasemonkey_Hacks
поможет?


Интересная штука, спасибо. Попытаюсь сейчас найти, может ли этот аддон не просто свои скрипты вешать, а подменять.

leksadin said:
↑ (https://antichat.live/posts/3943013/)
Интересная штука, спасибо. Попытаюсь сейчас найти, может ли этот аддон не просто свои скрипты вешать, а подменять.


а ты лучше знаеш что сделай, ты найди сорцы фаерфокса, или декомпилируй, покопайся в десятках или сотнях тысяч строк с++ кода, реализуй свой функционал по редактированию js и скомпилируй

вот это вообще тру будет

курлом отправь запрос и не еби мозг

leksadin said:
↑ (https://antichat.live/posts/3943009/)
Если не сложно - чуть-чуть подробнее, пожалуйста


Например, в HTML присутствует такой JavaScript-код:

document.getElementById('but').onclick = function(){

alert('default action');

}

==================

А мы в консоли firebug'а прописываем следующий код

document.getElementById('but').onclick = function(){

alert('rewrited action');

}

И получается, перезаписали обработчик нажатия на кнопку

private_static said:
↑ (https://antichat.live/posts/3943050/)
а ты лучше знаеш что сделай, ты найди сорцы фаерфокса, или декомпилируй, покопайся в десятках или сотнях тысяч строк с++ кода, реализуй свой функционал по редактированию js и скомпилируй
вот это вообще тру будет
курлом отправь запрос и не еби мозг


Идея переписать фаерфокс мне понравилась гораздо больше. Ну, или аддончик накатать. Вечером обязательно займусь

H@rd said:
↑ (https://antichat.live/posts/3943106/)
Например, в HTML присутствует такой JavaScript-код:

document.getElementById('but').onclick = function(){
alert('default action');
}

==================
А мы в консоли firebug'а прописываем следующий код
document.getElementById('but').onclick = function(){
alert('rewrited action');
}
И получается, перезаписали обработчик нажатия на кнопку


Супер, спасибо =) всё сработало.