Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   Стоит следующая задача. Отлавливаем снифер. (https://forum.antichat.xyz/showthread.php?t=7504)

Егорыч+++ 29.06.2005 10:53
Стоит следующая задача. Отлавливаем снифер.
 
Задача:

1. Есть Html страничка. Необходимо определить установлен ли снифер на этой страничке.

Необходима функция которая будет это делать или хотя бы алгоритм. В принципе в данном вопросе главное знание. И учитывая многообразие всевозможных вставок снифера, необходим алгоритм простой в дополнении.

Вопросы типа "Зачем" не принимаются.


Ps. В принципе я и сам уже его пишу, но мне интересно ваше мнение.

nerezus 29.06.2005 11:31
100% нельзя, иначе придется делать интерпретатор джаваскрипта =\

Algol 29.06.2005 11:40
Отрезать все запросы вне домена да и все)))

Егорыч+++ 29.06.2005 11:54
А собственно почему нельзя. Есть конкретные представления снифера в страничке. Вопрос только в количестве вариантов. В конце концов подобная функция может работать по принципу антивируса. А вот сигнатуры уже разрабатывать позже

nerezus 29.06.2005 12:19
Цитата:
Вопрос только в количестве вариантов.
стремится к бесконечности :)

Егорыч+++ 29.06.2005 12:25
Я бы не думаю что к бесконечности. Фуркции которые воруют куки ограниченны.

KEZ 29.06.2005 14:09
Ты имеешь ввиду, есть ли на страничке XSS ?
Типа <a href="" style="background:url(javascript:i=new Image(); ну и т д на сниффер?

На чем нужно это реализовать? На JAVASCRIPT или на серверных языках

Егорыч+++ 29.06.2005 14:26
на php надо...

censored! 29.06.2005 19:04
Сниферу надо что-то передать (куку, сессию или еще может чего). Хочешь не хочешь, а плюс (+) будет использоватся всегда. Отсюда анализировать надо на + (со всем возможным кодированием)

Егорыч+++ 29.06.2005 21:07
Это да.. с плюсом идея неплохая...

Майор 29.06.2005 22:08
на мой взгляд достаточно проверять наличие строчки:
Код HTML:
+document.cookie
во всех кодировках

Zadoxlik 30.06.2005 12:12
Ищи на странице перед тем как выдать пользователю текст "document.cookie" и секи все вставки типа <script src=""> т.к. такие вставки должно всегда по пальцам пересчитать, а все лишние - убрать.

bul666 30.06.2005 13:41
new Image()

LuTan 30.06.2005 16:29
Цитата:
Сообщение от Майор
на мой взгляд достаточно проверять наличие строчки:
Код HTML:
+document.cookie
во всех кодировках
The best!

Это 100% используемые символы!

censored! 30.06.2005 19:36
Цитата:
+document.cookie
The best!
Надо именно на плюс "ловить", а не на всю строчку "+document.cookie"
Так как могут перед этим куку запихнуть в переменную, а потом эту переменную передать сниферу. Если не в переменную, то в какую-нить функцию запихивать (типа eval() ). Так что плюс пока самый универсальный.

LuTan 30.06.2005 21:51
Можно и по отдельности document.cookie и + ловить!
Кстати необязательно такая конструкция!
Можно ведь редирект сделать!
Можно windows.open !!!
!

Rebz 30.06.2005 21:55
а если вы будете фильтровать document.cookie , такая комбинация сработает:
document.co okie ?
ну в общем, с проблами и табуляциями..

qBiN 26.07.2005 22:56
Я писал такую функцию...Выглядит довольно примЯтивно...Зато отлавливает как мне кажится все...Если еще надо icq:348000916

Майор 27.07.2005 01:52
На yahoo стоит такой фильтр - он раскодирует hex и ASCII 1 раз вырезает все пробелы, табуляции и т д, а потом ищит там ключивает слова...

qBiN 27.07.2005 10:28
Еще не забывай переделывать строку в нижний(верхний) регистр.
А то всякие JaVaScRipTы замучают =)

KEZ 27.07.2005 15:58
javascript можно писать через табуляцию.

qBiN 27.07.2005 16:18
А что мешает её фильтровать? Из спецальных символов я фильтрую : перевод каретки,табуляцию,перевод строки.Все что доктор прописал...


Время: 22:53