23.05.2020, 15:50
|
Новичок на форуме
|
|
Регистрация: 23.05.2020
Сообщений: 7
|
|
1111111
Последний раз редактировалось Karen989898, 23.05.2020 в 17:10.
|
|
23.05.2020, 15:55
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
Сообщение от Karen989898
|
хотя бы простых которые дают ту информацию которую простой пользователь не должен получить без прав доступа.
Версия базы данных которая используется или что то вроде этого...
|
А зачем пользователю версия БД, какой язык используется сервером и прочее о нем? Нормальный хозяин хоста никогда не разрешит выполнять у себя скрипты, подключать чужие html/js файлы без контроля, и информацию о хосте рассказывать не будет.
А вот попытки узнать все это через уязвимости, это и есть попытки взлома. Правда JS не для каждого серверного языка опасны, они просто не смогут исполняться.
|
|
23.05.2020, 16:27
|
Новичок на форуме
|
|
Регистрация: 23.05.2020
Сообщений: 7
|
|
Но проверить это каким нибудь скриптом js можно?
|
|
23.05.2020, 16:40
|
Профессор
|
|
Регистрация: 07.11.2013
Сообщений: 4,662
|
|
Karen989898,
Скрипты выполняются в твоем браузере, окстись, горе-хакер, сервер для тебя недосягаем, даже самый примитивный, если бы было всё так просто, то любой бы вася полинтернета положил.
Последний раз редактировалось Rise, 23.05.2020 в 16:44.
|
|
23.05.2020, 16:41
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
Karen989898, что вы хотите проверить?
|
|
23.05.2020, 16:49
|
|
Профессор
|
|
Регистрация: 20.12.2009
Сообщений: 1,714
|
|
laimas, что опять потянуло стаскивать чужие штаны?
Сообщение от Karen989898
|
К определенному сайту в его url добавляю
<script>alert(27213123123123)</script>
и ответ от сервера приходит, выводит сообщение что указал.
П
|
Так это не на сервере JS-код выполняется, а в твоём браузере. Ну ещё в чужих браузерах, если это опубликовывается или отправите кому ссылку с кодом. (Вот тогда можно говорить о получении чужой информации)
|
|
23.05.2020, 16:50
|
Новичок на форуме
|
|
Регистрация: 23.05.2020
Сообщений: 7
|
|
111111111
Последний раз редактировалось Karen989898, 23.05.2020 в 17:10.
|
|
23.05.2020, 16:54
|
|
Профессор
|
|
Регистрация: 20.12.2009
Сообщений: 1,714
|
|
Сообщение от Karen989898
|
Я хочу так же отправить другой какой нибудь скрипт, вместо alert и проверить сработает ли он.
|
Проверяйте!
|
|
23.05.2020, 16:59
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
Сообщение от Karen989898
|
после запроса который я писал - <script>alert(27213123123123)</script> пакет от сервера ко мне приходил уже с результатом
|
Хотел бы я посмотреть на сервер, который это бы выполнил и вернул результат. Вы можете попытаться "скормить js" серверу на Node.js, но такое <script>... он уж точно не будет выполнять как серверный код, если бы даже вы и нащупали брешь. В случае же иного языка, это вообще для сервера сигналом к действию являться не будет.
|
|
23.05.2020, 17:06
|
|
Профессор
|
|
Регистрация: 20.12.2009
Сообщений: 1,714
|
|
Сообщение от laimas
|
тебе что засранец нужно, или просто шило в заднице тебе покоя не дает?
|
Не понял вопроса, смени пароль, а то от твоего имени иногда идёт всякое порно и угрозы!
Сообщение от laimas
|
Вы можете попытаться "скормить js" серверу на Node.js, но такое <script>... он уж точно не будет выполнять как серверный код, если бы даже вы и нащупали брешь.
|
И только при помощи eval или vm.runInNewContext. Тут идёт речь о выводе в браузер, перевожу на PHP
<?php
echo $_GET['q'];
т. е. это не на сервере выполняется, а просто вставляется текст на страницу, в браузере это воспринимается как полноценный JS (если есть <script></script>), которой и выполняется, когда делаешь соответствующий запрос.
Последний раз редактировалось Malleys, 23.05.2020 в 17:09.
|
|
|
|