Возможности Javascript

[Karen989898]

1111111

[laimas]

Сообщение от Karen989898

хотя бы простых которые дают ту информацию которую простой пользователь не должен получить без прав доступа. Версия базы данных которая используется или что то вроде этого...

А зачем пользователю версия БД, какой язык используется сервером и прочее о нем? Нормальный хозяин хоста никогда не разрешит выполнять у себя скрипты, подключать чужие html/js файлы без контроля, и информацию о хосте рассказывать не будет.

А вот попытки узнать все это через уязвимости, это и есть попытки взлома. Правда JS не для каждого серверного языка опасны, они просто не смогут исполняться.

[Karen989898]

Но проверить это каким нибудь скриптом js можно?

[laimas]

Karen989898, что вы хотите проверить?

[Malleys]

laimas, что опять потянуло стаскивать чужие штаны?

Сообщение от Karen989898

К определенному сайту в его url добавляю <script>alert(27213123123123)</script> и ответ от сервера приходит, выводит сообщение что указал. П

Так это не на сервере JS-код выполняется, а в твоём браузере. Ну ещё в чужих браузерах, если это опубликовывается или отправите кому ссылку с кодом. (Вот тогда можно говорить о получении чужой информации)

[Karen989898]

111111111

[Malleys]

Сообщение от Karen989898

Я хочу так же отправить другой какой нибудь скрипт, вместо alert и проверить сработает ли он.

Проверяйте!

[laimas]

Сообщение от Karen989898

после запроса который я писал - <script>alert(27213123123123)</script> пакет от сервера ко мне приходил уже с результатом

Хотел бы я посмотреть на сервер, который это бы выполнил и вернул результат. Вы можете попытаться "скормить js" серверу на Node.js, но такое <script>... он уж точно не будет выполнять как серверный код, если бы даже вы и нащупали брешь. В случае же иного языка, это вообще для сервера сигналом к действию являться не будет.

[Malleys]

Сообщение от laimas

тебе что засранец нужно, или просто шило в заднице тебе покоя не дает?

Не понял вопроса, смени пароль, а то от твоего имени иногда идёт всякое порно и угрозы!

Сообщение от laimas

Вы можете попытаться "скормить js" серверу на Node.js, но такое <script>... он уж точно не будет выполнять как серверный код, если бы даже вы и нащупали брешь.

И только при помощи eval или vm.runInNewContext. Тут идёт речь о выводе в браузер, перевожу на PHP

<?php

echo $_GET['q'];

т. е. это не на сервере выполняется, а просто вставляется текст на страницу, в браузере это воспринимается как полноценный JS (если есть <script></script>), которой и выполняется, когда делаешь соответствующий запрос.

[laimas]

Сообщение от Malleys

И только при помощи eval или vm.runInNewContext.

Я не знаю Node.js, и выполнит ли он через eval <script></script>. Но думаю разработчик уж точно бы не стал такое делать на сервере ради вывода в браузер.