|
Ломаю тут один форум..Через цвет. Форум на движке YaBB(цвет вставляется с помощью [ color ]). Много какие форумы таким макаром у меня ломались. А тут - ни в какую. Пошел смотреть HTML-код. Выяснил, что форум заключает все, что находится после знака равно в кавычки. Если я ставлю кавычки в тело тега, форум переводит их в символьный код. Фокус с символом "\" не проходит. На всякий случай попробовал и символ "/", но особых изменений не последовало. Вопрос такой: реально ли обойти кавычки?
|
символ "\" это внутренняя фича ПХП - так называемая экранировка. Ее можно отключить в пхп.ини (magic_quotes_gpc=Off) файле и многие продвинутые так и поступают. ЯББ написан именно на пхп. его можно свободно скачать, например попробуй эту ссылку:
http://tomahawk.hoha.ru/download/YaBB_1Gold_SP1.3.1.rar Есть много версий, выясни какая именно там установлена и попытайся достать исходники именно этой версии. Поставь ее себе и тренируйся=) |
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Matias @ декабря 15 2003,20:09)</td></tr><tr><td id="QUOTE">реально ли обойти кавычки?[/QUOTE]<span id='postcolor'>
Думаю что нет. Если атрибут в кавычках (типа color="мой цвет"), и символ " преобразуется в &quot;, то выйти за пределы атрибута не удастся. Символ же \ может спасти только внутри джаваскриптовского обработчика. Внутри атрибута color он ни на что не влияет. |
Radid Rabbit, фэнькс за ссылку, именно та версия.. За инфу тоже фэнькс. Будем эксперементировать.
Алгол, жаль... Спасибо, что объяснил. Кстати, а у на этом то форуме нелогично как-то получается. Картинки отключены, а аватары..Алгол, ты на 100% уверен, что здесь в аватар скрипт нельзя вставить?.. Аватары обрубать, помоему необязательно, но проверить защищенность не мешает..Это так, к слову.. |
Ха, тут один чел так и делал. Я просто вижу ты тут недавно=) У некого "next" вместо аватара именно скрипт и стоял=) Он таким образом айпишники мотрел (разрешение экрана, браузер, т.п.) но совершенно необязательно для такой тривиальной задачи было снифера прописывать, достаточно просто вставить свою картинку а потом посотреть логи сервака=)))
|
Мда, оригинально - ломать форум о взломе чатов и форумов. Прикольно=))
|
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Matias @ декабря 16 2003,20:18)</td></tr><tr><td id="QUOTE">Кстати, а у на этом то форуме нелогично как-то получается. Картинки отключены, а аватары..Алгол, ты на 100% уверен, что здесь в аватар скрипт нельзя вставить?..[/QUOTE]<span id='postcolor'>
В аватор скрипт вставить нельзя (только сниффер), зато скрипт можно вставлять в некоторые IB коды (типа [color]). Можно конечно заблокировать все эти коды, но не хочется ущемлять возможности форума. Главное что админка в этом форуме хорошо защищена, и через скрипт к ней доступ так просто не получишь )) |
Зачем блокировать колор целиком? Что нельзя изящнее подойти?
|
Что бы подойти изящнее, нужно копать исходник. А у меня ни малейшего желания делать это - нет.
|
Ну тода давай свой исходник сю я покопаю=))) -- дассист шютка....
|
| Время: 01:24 |