anonymous

HackForum

anonymous#
Potreboval bych poradit.
pokud do adressbaru napisu:
javascript:alert("ahoj");
pak mi to vypíse "ahoj".
Co když ale potrebuju načíst skrippt odněkud odjinud, třeba z úplně jiné stránky, jde to nějak?
PS nemyslím načtení f-ce
javascript:alert(moje_funkce); ptz ta se nacte pouze ze source code stránky.
Dik za pripadnou odpoved.
(odpovědět)
Java script | 158.194.29.*5.9.2007 13:01
re: anonymous#
myslis neco jako <script src="[link]"></script> ?
(odpovědět)
( | ) | 85.132.198.*5.9.2007 13:11
re: Java script#
jo, ale tohle nemuzu napsat do adressbaru...:(
(odpovědět)
anonymous | 158.194.29.*5.9.2007 13:14
re: anonymous#
Tos nasel nice bug, protoze ja si myslim, ze kdyz neco takovyho otevres z odkazu na strance (nebo to jen napises rucne do adresniho radku), tak ten kod ma zpristupneny to samy, jako, kdyby byl primo v kodu stranky.

protoze kdyz sem ted rucne zapsal do radky "javascript:alert("ahoj");", napsalo mi to
"Sdělení stránky [link] ahoj", takže si ten interpreter mysli, ze kod pochazi z aktualni stranky, cehoz by se dalo teoreticky zneuzit...

Muzete namitat neco o tom, ze k tomu brovseru mate stejne pristup... Ovsem kdyz zacnete na cizim pc sniffovat a kopirovat ulozene relace, je to mnohem pruhlednejsi, nez kdyz pastnete do adresbaru par prikazu...
(odpovědět)
Harvie. | 213.220.241.*5.9.2007 14:08
re: anonymous#
myslis toto?:
javascript:document.write('<script src="[link]"></script>');

(odpovědět)
Emkei | E-mail | Website | PGP5.9.2007 15:03
re: anonymous#
hm to vypadá pekne, ale nejede to:(
ani tohle:

javascript:document.write("<script>al
ert("Fuck");</script>");


(odpovědět)
anonymous | 158.194.29.*5.9.2007 18:02
re: anonymous#
ale jde to, viz:
javascript:document.write('<script src="[link]"></script>');

to, co jsi uvedl, samozrejme nemuze fungovat, mas tam uvozovky v uvozovkach, takze ty kolem slova "Fuck" bud nahrad apostrofy nebo pouzij escape sekvenci \".
(odpovědět)
Emkei | E-mail | Website | PGP5.9.2007 18:44
re: anonymous#
To neni zadnej bug. To je klasicka podpora JS v browseru.
(odpovědět)
RubberDuck. | 85.71.165.*5.9.2007 15:24
re: anonymous#
harvie zas objevil ameriku...
(odpovědět)
Van_Pr0meTheus | E-mail | ICQ 193-065-0505.9.2007 16:26
re: anonymous#
ok, dik moc funguje to. Me to nejelo ptz jsem jako link odkazoval na svoje stránky, kde jsem soubor hack.js, ale nic v nem nebylo:))

(odpovědět)
anonymous | 158.194.29.*5.9.2007 18:56
re: anonymous#
jeste jedna vec, sice uz to funguje,ale
documents.write provede ten script jakoby na "další" stránce. Takže pokud bych chtěl takto získat třeba nějakou hodnotu proměnné ve formuláři oběti, tak to nepofachá. :

javascript:document.write('<script src="[link]"</script>');

kde hack.js obsahuje:

alert(document.forms[0].elements[0].value);

nejde to nějak udelat, aby hodnotu promené ukázal?



(odpovědět)
anonymous | 158.194.29.*5.9.2007 19:29
re: anonymous#
ne, tato vlastnost (zamezeni pristupu k datum z jine domeny) patri k zakladnim bezpecnostnim prvkum JavaScriptu, jeji absence by mela katastrofalni dopad na bezpecnost. obejit ji lze napriklad pomoci XSS na dane strance.
(odpovědět)
Emkei | E-mail | Website | PGP6.9.2007 15:02

Zpět
 
 
 

 
BBCode