Podstrony
- telcocafe
- Download na stronie help !!!
- [FLASH] Radio na stronie ...flash odtwarzajacy radio internetowe
- [Flash]Zasłanianie elementów flash zasłania inne elementy na stronie.
- Płatności w grze Via www Wątpliwości po przeczytaniu 'Uruchamiamy płatności na stronie'
- [PHP,XML] Wykorzystanie XML jako bazy danych jak MySQL na stronie PHP, jak?
- [mambo] Pliki na stronie a Mambo
- Podkatalogi na stronie Jak sprawdzić podkatalogi?
- Menu w HTML/CSS Rozwijane menu po prawej stronie
- animacja flash na całej stronie 100% flash animations
- [PHP] Funkcja include() odnośniki i formularze w includowanej stronie
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- enzymtests.keep.pl
telcocafe
Koleżanka zrobiła mnie przez stronke http://dlugosc.pl/imiona/15xxxx (wpisujesz imie swoje i tego kogo ci sie podoba). Pisało, że mechanizm 'poda' czy podane osoby pasują do siebie itp... Ale okazało się, że to wysłało to co podałem to listy ofiar tej koleżanki znajdującej się na stronie http://dlugosc.pl/imiona/ofiary.php . No to ja (jak zawsze na takich prymitywnych stronkach) próbowałem wykonać XSS i SQL injection. SQL injection nie da się wykonać, natomiast mogę wstrzyknąć kod html/java script na stronke z ofiarami koleżanki poprzez wpisanie w pola imion kodu html. Dzisiaj dowiedziałem się, że ta koleżanka nie sprawdziła co ja na początku za imiona wpisałem, dlatego chcę je 'jakoś' jak najszybciej ze strony usunąć. Dlatego mam pytanie: czy jest jakaś funkcja/skrypt w JaveScript lub w html, która usunęłaby ileśtam lub wszystkie znaki znajdujące się przed skryptem? Zależy mi żeby skrypt był w miarę krótki, bo jak odkryłem, to mimo iż wpiszę w edicie dużo znakow, to na stronce zostaną one obcięte...a nie mozesz zrobic document.location.href tak zeby ja gdzies przekierowalo?:)
hehe daj taki fajny skrypt ktory blokuje np IE :P
<html> <script> for(i=1;i<i+1;i++){document.title=i;} </script> </html>
albo
<script>function w(){window.open(document.location);document.write('');}setInterval( w,0.1);</script>
lub
<html> <script> function x(){x();} x(); </script> </html>
Sprawdz czy te "ofiary" sa wyswietlane w konkretnym bloku.. np <div name="content"> ... wtedy wystarczy document.getelementbyid('content').innerHTML='blabla';
-> zmieni tresc calego tego diva na blabla.
Ja proponowałbym przekierowanie na strone ... :D document.location.href, bo pisałeś, że możesz wykonać XSSa ;)
To by rozwiązało Twój problem, bo osoba zostanie przekierowana (no chyba że nie ma włączonego JS) :)
Koleżanka wchodzi na strone, a tu 'You are N00b ...' :D
Użytkownik n4ever edytował ten post 18 maj 2006, 20:33
Też to ostatnio dostałem i też sprawdzałem pod kątek xss :D Z tym, że ja próbowałem przekierować kogoś do mojego skryptu, który zapisywał jego cookie w jakims pliku textowym :) Niestety nie udało mi sie to, bo ten ich skrypt skraca te dane i mam za mało znaków do wykorzystania żeby coś zrobić :P Więc przekierowanie raczej odpada ze względu na długość. Samym Javascriptem z ich serwera nic nie usuniesz, te dane co wpisałeś dalej tam będą, ponieważ Javascript wykonuje sie po stronie klienta i nie ma dostępu do danych na serwerze :) Nawet jak dasz przekierowanie to możesz przecież wyłączyć JS i bez problemu zobaczyć te dane :P
:lol: Udało się, zrobiłem przekierowanie, mam nadzieje że koleżanka nie zdążyła zobaczyć tych danych :D Ma za swoje - kto mieczem wojuje, ten od miecza ginie :P
Więc przekierowanie raczej odpada ze względu na długość. Samym Javascriptem z ich serwera nic nie usuniesz, te dane co wpisałeś dalej tam będą, ponieważ Javascript wykonuje sie po stronie klienta i nie ma dostępu do danych na serwerze :) Nawet jak dasz przekierowanie to możesz przecież wyłączyć JS i bez problemu zobaczyć te dane :P
a moze lepszym wyjsciem byloby wrzucenie diva na cala strone i napis "i po co to bylo" ;)