ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > ИНФО > Статьи
Перезагрузить страницу Проводим редактирование HTML без edit
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

Проводим редактирование HTML без edit
  #1  
Старый 04.02.2006, 14:42
Аватар для Victor
Victor
Banned
Регистрация: 04.02.2006
Сообщений: 20
Провел на форуме:
19546

Репутация: 1
Cool Проводим редактирование HTML без edit
Прочитав писанину которую трудно назвать статьей так как она скорее является дополнением к написанному Algol'ом по XSS, http://forum.antichat.ru/thread13949.html Я решил тоже написать писанину которую трудно назвать статьей так как она скорее является заменителем всех статей Алгола когда либо написанных вместе взятых.

Думаю многим из вас приходилось встречать html/JavaScript/др. в которых присутствует уязвимость edit, провести ее сложно, по причине фильтрации магических слов edit или Save As и потом Edit и модификации типа EdIt SaVe As и потом EdIt (без пробелов или табуляцией в начале) Так вот убедившись, что метод edit наглухо не получится ибо не хватает прав, есть возможность попробовать альтернативу print(). (это метод объекта window). Как написано в документации print() - "принтует страничку связанную с окошком браузера".




Рассмотрим на простом примере:

Классический случай:

Код HTML:
<font color=red onmouseover=javascript:print()>принт работает!</font>
Используем print():

Код HTML:
<font color=red onmouseover=window.print()>И тут работает!</font>
Эффект тот же @))

Но, видимо, популярность такого метода не такая высокая как у классического по причине его кривости...изначально в документации синтаксис print() выглядит так:window.print(), но в последних версиях IE print() не поймет даже такую строку print("!@^#&$*%(^)&*#&!@&!(@!)!$%_"). Выяснено, что он категорически не любит скобки амстердамы и ряд других необходимых символов(например для угона инфы).
Попробуйте:

Код HTML:
<font color=red onmouseover=window.print(!@#$%^&*()(*&^%$#$@#!!!@#$!%^!&>не работает!</font>
Для решения первой проблемы(невозможность использовать несколько команд одновременно(print(onbeforeprint(onaft erprint))) мы используем следующую особенность:

Код HTML:
<font color=red onmouseover=window.print();print()>Два принта!</font>
т.е. через ; можем использовать несколько подряд идущих методов, что уже неплохо.
А для решения второй проблемы(его нелюбовь к амстердамам и прочим символам) используем такую замечательную вещь как функции, типа prompt, View source, Edit и возможно прочие. Из этих трех мне приглянулась View Source. Назначение этих функций для нас не важно, вся фича в том, что эти функции неким магическим способом(кому надо сам разберется) позволяют нам творить невозможное=)
Смотрим:

Код HTML:
<font color=red onmouseover=window.print(edit(!*(@$(*($&%!_!)$*!)$()!());window.print(Edit)>Получилось!</font>
Т.е. мы решили вторую проблему, таким образом мы создаем полноценную "edit-тырилку", несмотря на паранойю разработчика=))
P.S.Возможно это уже где-то описывалось, не встречал.
P.S.S.За всеми вопросами пишем сюда...
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
В Gmail появились RSS-агрегатор и возможность просмотра вложений как HTML dinar_007 Мировые новости 0 10.12.2005 14:54



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ