यह जावास्क्रिप्ट में भी एक संकेत है। जावास्क्रिप्ट - तरीके सतर्क, शीघ्र और पुष्टि करें। गैर-वैध XSS के साथ हमला बट

Tsіy statty mi vivchimo में तीन tsіkavih विधि, और स्वयं विधियाँ चेतावनी (), पुष्टि () और शीघ्र ()... सभी बदबू मारो कोरिस्टुवाच के साथ बातचीत के लिए पदनाम.

सभी तीन विधियाँ विंडो (ब्राउज़र विंडो) पर स्थित हैं। मैं इसे इस तरह सूंघ सकता हूं: window.method_name (); अले, जावास्क्रिप्ट हमें केवल विधि का नाम देकर विंडो पर आपत्ति करने और लिखने और लिखने की अनुमति देता है।

आइए अलर्ट () विधि का उपयोग करें। डेनिश विधि को ब्राउज़र के अंत में निर्दिष्ट के रूप में दिखाया जाना है। यह अंत में सभी पक्षों के शीर्ष पर दिखाई देगा, और जब तक आप ओके बटन नहीं दबाते हैं, तब तक आप बंद नहीं होते हैं।

प्रदर्शन के लिए, vivedemo को अतिरिक्त अलर्ट () विधि से जोड़ा जाएगा

वार टुडे_इस = "सोमवार"; चेतावनी ("आज" + आज_इस);

मध्य विधियों में, हम एक पंक्ति का उपयोग कर सकते हैं, केवल बिना एचटीएमएल टैग iv. यहाँ की बदबू obroblyayutsya नहीं है, बल्कि vivodatsya याक है।

यदि एक पंक्ति, यदि आप इसे करना चाहते हैं, यदि आप एक नई पंक्ति में जाना चाहते हैं, तो यहां html टैग है
नहीं spratsyuє. यहां आपको "\ n" वर्ण चुनना होगा।

अलर्ट ("लूओउउओंग \ nStringgggggggg");

डेनिश पद्धति अक्सर विजयी होती है मजाक के लिए कोड में क्षमा करें.

कोड को संसाधित करने की प्रक्रिया ऊपर से नीचे तक जाती है, इसलिए क्षमा को पकड़ने के लिए, लंबित क्षेत्र में केवल चेतावनी () विधि लिखें, जहां क्षमा मिलती है। मुझे सतर्क () स्प्रेत्सुवव पसंद है, मतलब एक पंक्ति तक, कोई वर्तनी नहीं है, कोई दया नहीं है।

दाल, इसे एक पंक्ति या अधिक नीचे स्थानांतरित करना आवश्यक है। Zberigaєmo पलकें झपकाता है, मुझे ब्राउज़र में नया पृष्ठ पता है, और आश्चर्य है, अगर सतर्क () spratsyuvav, अर्थ, पंक्ति के लिए क्षमा, वहाँ होने का कोई संकेत नहीं है, नहीं, इनशोमु विपद में, यदि यह स्प्रेत्सुवव नहीं है, तो धूमधाम एक पंक्ति में है, एक बार पेरेबुवाє... रैंक की ऐसी धुरी को कोड में क्षमा के रूप में पहचाना जा सकता है।

पुष्टि () विधि

जानकारी की पुष्टि के लिए, पोषण के लिए पूरी विधि विजयी है। केवल दो विकल्प दिखाई देते हैं, वह (ओके) ची नी (रद्द करें / स्कासुवती)। यदि उत्तर सही है, तो विधि को सही (सत्य) में घुमाया जाता है, और विधि बॉक्स (गलत) को घुमाने के लिए होती है।

बट के लिए, अतिरिक्त पुष्टि () विधि के अंत में विवेडेमो, "क्या आप वास्तव में पक्ष को ओवरराइड करना चाहते हैं?" यदि आप ऐसा कहते हैं, तो अलर्ट () विधि के माध्यम से आपको "कोरिस्टुवाच पक्ष छोड़ना चाहता है" संदेश भी दिखाई देगा, और दूसरी बार आप देखेंगे "कोरिस्टुवाच पक्ष छोड़ना नहीं चाहता"।

Var user_answer = पुष्टि करें ("क्या आप वाकई पृष्ठ को अधिलेखित करना चाहते हैं?"); अगर (user_answer) अलर्ट ("कोरिस्टुवाच पेज छोड़ना चाहेगा"); अन्य चेतावनी ("कोरिस्टुवाच \ n पक्ष नहीं छोड़ना चाहता");

तो रैंक की धुरी पुष्टि () विधि है। विन विकोरिस्टोवुवत्स्य विभिन्न व्यपदियों में कर सकते हैं। उदाहरण के लिए, साइट से देखे जाने से पहले, इसे एक कोरिस्टुवाच को खिलाने के लिए लिया गया था, जो अपनी ही लड़की का दोषी था। लेकिन इससे पहले कि आप फॉर्म बदलते हैं, आप कोरीस्टुवाच को भी खिला सकते हैं "क्या आपको सब कुछ ठीक से याद है?"

शीघ्र () विधि

पहली स्टॉप विधि, जो वैकल्पिक है, प्रॉम्प्ट () विधि है। डेनिश विधि विजयी है, लेकिन नीचे दो विधियाँ हैं। जैसे ही आप इसे टेक्स्ट फ़ील्ड में दर्ज करते हैं, वीन आपको कोरिस्टुवाच के बारे में जानकारी को सही करने की अनुमति देता है।

नतीजतन, प्रॉम्प्ट () विधि घुमाएगी या तो मैं एक पंक्ति में प्रवेश करूंगा, अगर मैं ओके बटन दबाता हूं, या नल, अगर मैं ओके बटन दबाता हूं।

यह एक पैरामीटर है, ताकि किसी दी गई विधि के सभी मध्य धनुषों को एक पंक्ति, या आपूर्ति में लिखा जा सके, यदि आप जानकारी जानते हैं, तो आपको इसे दर्ज करने की आवश्यकता है।

उदाहरण के लिए, हम कोरिस्टुवाच से भोजन का जवाब देने के लिए कहते हैं "याक आपको बुलाता है?" नाम की मदद से पेश किया जाता है, यह सहायक चेतावनी () विधि के पीछे स्क्रीन पर प्रदर्शित होता है।

वर नाम = प्रांप्ट ("मैं आपको कैसे कॉल कर सकता हूं?"); चेतावनी ("आपको कॉल करें" + नाम);

Zberigaєmo और ब्राउज़र में लिंक प्रदर्शित करना।

जाहिर है, टेक्स्ट फ़ील्ड में प्रॉम्प्ट () विधि के साथ, आप कोई भी जानकारी दर्ज कर सकते हैं। संख्याओं या कुछ विशेष वर्णों के समय में नेविगेट करने के लिए जानकारी को एक पंक्ति की तरह घुमाया जाएगा।

बट के लिए, हम कोरिस्टुवाच को दो नंबर दर्ज करने के लिए कहते हैं, फिर हम उन्हें गुणा कर सकते हैं। कई नंबरों के लिए कैलकुलेटर होगा।

Var x = प्रांप्ट ("पहला नंबर दर्ज करें:"); var y = प्रॉम्प्ट ("दूसरा नंबर दर्ज करें:"); // एक स्ट्रिंग प्रकार से एक संख्यात्मक प्रकार x = संख्या (x) में इनपुट संख्याओं को फिर से लिखना; वाई = संख्या (वाई); दस्तावेज़.लिखें (x + "*" + y + "=" + (x * y));

पंक्तियों में संख्याओं को दर्ज करना, इसलिए सही परिणाम को गुणा करने के लिए, आपको संख्या () फ़ंक्शन के माध्यम से संख्या को पारित करने की आवश्यकता है, क्योंकि यह संख्या को स्ट्रिंग प्रकार से सामान्य संख्याओं में परिवर्तित करता है।

अच्छा यही सब है। अब हम तीन तरीके जानते हैं: चेतावनी (), पुष्टि करें () शीघ्र है ()... आप अभ्यास पर vikoristovuvati मुस्कुरा सकते हैं।

जावास्क्रिप्ट में, तीन हैं बुनियादी संचालन, याकी आपको स्क्रिप्ट में शेष प्रसंस्करण के लिए कोरिस्टुवाच से डेटा को ट्रिम करने की अनुमति देता है। त्से अलर्ट, शीघ्र पुष्टि करें। क्यों बदबू स्थिर है, क्योंकि यह vikoristovuvati और ​​बारीकियों है और प्रतिमा में दूर तक पहचाना जाएगा।

चेतावनी

ब्राउज़र स्क्रीन पर एक मोडल विंडो प्रदर्शित करने के लिए अटका हुआ है (इसका मतलब है कि कुछ भी नहीं खींचा जा सकता है, जब तक कि यह रो नहीं रहा है। खुले बट पर, चुपचाप, ओके बटन को छोड़ दें) खिड़की पर।

जब संदेश प्रदर्शित होता है, तो संदेश अलर्ट में प्रदर्शित होता है, स्क्रिप्ट प्रदर्शित होती है और मोडल विंडो बंद होने पर अपडेट की जाती है।

कभी-कभी zapovnennyaफ़ील्ड्स ऑनस्लॉट ओके, स्क्रिप्ट टर्न इंफॉर्मेशन में, yaku vіv koristuvach।

कमांड सिंटैक्सकभी-कभी यह मुड़ा हुआ होता है, सामने से कम होता है, और कुछ टुकड़े आपको कोरिस्टुवाच से पहले जानवर के पाठ और जानकारी दर्ज करने के लिए क्षेत्र की सामग्री में प्रवेश करने की अनुमति देते हैं, यदि आपसे सुझाव मांगे जाएंगे: परिणाम = शीघ्र (शीर्षक, डिफ़ॉल्ट);, डे

• शीर्षक- वास्तव में, कोरिस्टुवाचेव को मोडल विंडो में पेश किया जाएगा। तर्क zapovneya के लिए बाध्यकारी है।
• चूक जाना- फिर, परिवर्तन के लिए पाठ की शुरूआत के लिए क्षेत्र में scho videdetsya। यह भंडारण के लिए भी बाध्यकारी है, यदि आप इसे नहीं डाल सकते हैं, तो आप इसे deyaky ब्राउज़रों में क्षमा के लिए ला सकते हैं। यदि आप खाली जानकारी दर्ज करने के लिए क्षेत्र छोड़ना चाहते हैं, तो बस अगली रैंक के साथ शीघ्र पूछें:

  var myTest = शीघ्र ("बी-याक जानकारी", "" ");

छोटा बट vikoristannya शीघ्र:

वर वर्ष = शीघ्र ( "आपने वीएनजेड कैसे समाप्त किया?", 2008); चेतावनी ("वी विपुस्कनिक" + वर्ष + "रॉक!");

Zazvychay ने vikoristovutsya को koristuvachiv से श्रद्धांजलि एकत्र करने का आदेश दिया, क्योंकि अन्य रोबोटों की उन्नति के लिए स्क्रिप्ट आवश्यक है।

पुष्टि करना

इसके अलावा मोडल vіkno... याक के लिए uzgodzhennya chogos z koristuvach के लिए vikoristovutsya zzvychay नाम पूछना आसान नहीं है।

इस उद्देश्य के लिए, इसे तेज किया जाता है - OK और CANCEL बटनों के आदान-प्रदान के लिए, क्रमशः स्क्रिप्ट बूलियन मानों को सही और गलत करने के लिए।

दिन के अंत में आप तरीकों से सीख सकते हैं ओब'एक्टा विंडो: अलर्ट (), शीघ्र () की पुष्टि है ()।

चेतावनी () विधि

स्क्रीन पर सतर्क संवाद विंडो प्रदर्शित करने के लिए मूल्यों की चेतावनी () विधि, क्योंकि हम इसे "ओके" बटन पर असाइन करेंगे। कोरिस्टुवाच को महत्वपूर्ण जानकारी देने के लिए आप vikoristovuvatisya कर सकते हैं।

विंडो.अलर्ट (पैरामीटर_1);

अलर्ट () विधि में एक बाध्यकारी पैरामीटर है - संदेश पाठ जो संवाद विंडो में प्रदर्शित होता है। इसके विकोनन्न्या के परिणामस्वरूप डेनिश पद्धति को उलट नहीं किया गया है।

उदाहरण के लिए, एक साइट के लिए एक vivedemo एक poperezhuvala संवाद vіkno पर हमले के साथ: साइट पर जाएँ

नतीजतन, जब ब्राउज़र पक्ष अपडेट किया जाता है, तो हम एक विंडो में कोरिस्टुवाच के अभिवादन के साथ दिखाई देंगे। जब ओके बटन दबाया जाता है, तो यह आपकी छवि को फीड करने के लिए तुरंत दिखाई देगा। वी यह विधिदो पैरामीटर, जो बाध्य हैं और शीर्षक के लिए प्रदर्शित किए जाते हैं, जो कि हमारी पसंद के भोजन में शामिल होंगे। पहला अन्य पैरामीटर मान के लिए प्रदर्शित होता है, क्योंकि यह टेक्स्ट फ़ील्ड में सुझावों के लिए प्रदर्शित किया जाएगा। यदि आप अपना नाम दर्ज करते हैं और OK बटन दबाते हैं, तो आपका नाम विंडो में जाएगा नाम उपयोगकर्ता... बटन दबाओगे तो भविष्य में लिखोगे शून्य.
सबसे पहले और सबसे महत्वपूर्ण, यदि आप कोरिस्टुवाच में खाते हैं, यदि आप हमारी साइट ची नी को छोड़ना चाहते हैं। सर्दियों में हर ज़गोडी के लिए तार्किक अर्थ प्रदान किया जाएगा सच, पर vіdmovі झूठापक्का। एक्सिस और सब कुछ, पाठों की शुरुआत तक, इन तरीकों के बारे में बड़प्पन पर जाएं!

क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस) एक अंतर है, जैसे एम्बेडेड कोड पर एक नज़र, वेब साइड में क्लाइंट के पक्ष (जावास्क्रिप्ट) पर देखने के लिए, जैसे कोड के अंदर देखना।

विजेताओं को फ़िल्टरिंग श्रद्धांजलि की कमी के माध्यम से दूर करना, जिन्हें वेब साइट में डालने के लिए वेब पेज पर भेजा जाता है। किसी विशिष्ट बट पर ज़ूम इन करना आसान है। इसे एक अतिथि पुस्तक के रूप में सोचें - कार्यक्रमों की एक पूरी श्रृंखला, जो एक कोरिस्टुवाच और एक झूठी छवि के दिए गए दृश्य को स्वीकार करने के लिए उपयोग की जाती है। जाहिर है, अतिथि की पुस्तक की कल्पना नहीं की जाती है और न ही फ़िल्टर की जाती है, बल्कि पेश की जाती है, लेकिन बस इसकी कल्पना की जाती है।

आप अपना खुद का फेंक सकते हैं सरलतम लिपि(कोई साधारण बात नहीं है, PHP में गंदी स्क्रिप्ट लिखने की कोई आवश्यकता नहीं है - व्यस्त होने के लिए यह बहुत बड़ा है)। पहले से ही पर्याप्त तैयार विकल्प नहीं हैं। उदाहरण के लिए, मुझे Dojo और OWASP Mutillidae II के बारे में कुछ जानकारी याद आ जाएगी। वहाँ є एक समान बट। डोजो के स्वायत्त मध्य में, अनुमति के लिए ब्राउज़र पर जाएं: http: //localhost/mutilidae/index.php? पेज = ऐड-टू-योर-ब्लॉग.php

कोरिस्टुवाचिव विव से यक्ष्को हटोस:

वे वेब साइड डिस्प्ले:

विटन्या! आपकी साइट के समान।

और आप इस तरह कोरिस्टुवाच में प्रवेश करेंगे:

विटन्या! आपकी साइट के समान।

वे इस तरह दिखाई देते हैं:

ब्राउज़र महान वेबसाइटों से निःशुल्क कुकीज़ सहेजते हैं। त्वचा साइट को स्वयं सहेज कर ही संपादित किया जा सकता है। उदाहरण के लिए, साइट example.com आपके ब्राउज़र में लोड है। यदि आप other.com साइट पर जाते हैं, तो पूरी साइट (क्लाइंट और सर्वर स्क्रिप्ट) का उपयोग कुकीज़ तक पहुंच को संसाधित करने के लिए नहीं किया जा सकता है, जैसे कि example.com साइट।

चूंकि साइट example.com को XSS में फुलाया जाता है, इसका मतलब है कि हम नए जावास्क्रिप्ट कोड में डालने के लिए सबसे कुशल तरीके से कर सकते हैं, और कोड example.com साइट पर प्रदर्शित किया जाएगा! ऐसा करने के लिए, कोड प्रदान किया जाएगा, उदाहरण के लिए, कुकी साइट example.com तक पहुंच।

मुझे लगता है कि सभी को यह याद होगा कि जावास्क्रिप्ट corystuvachiv के ब्राउज़र में उपलब्ध है, ताकि XSS की उपस्थिति के साथ, एक shkidlivy कोड की शुरूआत के साथ, मैं दिए गए corystuvach तक पहुंच से इनकार कर दूंगा, जिसका उपयोग वेबसाइट खोलने के लिए किया जा सकता है।

इसके अलावा, कोड जावास्क्रिप्ट में उन सभी में है, लेकिन स्वयं:

• मैं साइट देखने के लिए कुकीज़ तक पहुंच को अक्षम कर दूंगा
• आप कुछ सांप ला सकते हैं ज़ोव्निश्निय विग्लादबग़ल में
• मैं एक्सचेंज बफर तक पहुंच हटा दूंगा
• आप जावास्क्रिप्ट प्रोग्राम का उपयोग कर सकते हैं, उदाहरण के लिए, कुंजी लॉगर
• बीईईएफ को सुनें
• में है कि।

गुड़िया के लिए उपयोग में आसान बटस्टॉक:

अच्छे कारण के लिए, चेतावनी vikorystovuєtsya केवल XSS का पता लगाने के लिए। बड़ी बात करना वाकई बहुत बड़ी बात है। वॉन को कॉल करने के लिए स्वागत है सर्वर देखेंद्वेषपूर्ण और नई चोरी की श्रद्धांजलि के लिए प्रेषित।

एक्सएसएस देखें

नायगोलोव्निशे, एक्सएसएस को देखने के बारे में क्या कहा जाना चाहिए, यह क्या बदबू आ रही है:

• सहेजें (पोस्ट)
• विदबिट (पोस्ट नहीं)

डाकियों का बट:

• एक सर्वर के रूप में अतिथि पुस्तक (टिप्पणी, मंच, प्रोफ़ाइल पर पोस्ट की गई) द्वारा विशेष संरचनाओं के दुष्ट व्यक्ति द्वारा प्रस्तुत, त्वचा के सर्वर से एक बार लॉग इन करना, अगर यह पार्टी की छवि को शक्ति देगा।
• द्वेषी, उदाहरण के लिए, के माध्यम से सर्वर श्रद्धांजलि तक पहुंच काट रहा है एसक्यूएल में है, vvadv in vidayutsya koristuvachevі danі बुराई JavaScript कोड (s ki-logery or s BeEF)।

गैर-सदा का बट:

• साइट पर एक चुटकुला है, जैसे कि एक ही समय में परिणामों के साथ मजाक आंख को दिखाया गया था "आप मजाक कर रहे थे: [मजाक की पंक्ति]", सभी श्रद्धांजलि के साथ उचित रैंक द्वारा फ़िल्टर नहीं किया जाना चाहिए। Oskіlki ऐसा पक्ष केवल उसी के लिए प्रदर्शित होता है जिसके पास प्रतिक्रिया होती है, फिर, यदि दुष्ट-कर्ता साइट की शक्ति को साइट पर नहीं भेजता है, तो हमला सही नहीं है। पीड़ित की अनुमति के पुनर्निर्देशन को बदलने के लिए, आप एक तटस्थ साइट पर दुर्भावनापूर्ण स्क्रिप्ट पोस्ट करना चुन सकते हैं, जो पीड़ित है।

मैं यह भी देखता हूं (गैर-अवधारणात्मक एक्सएसएस आग्रह के अर्थ में कार्य करता है, देख, साथ ही, एक प्रकार का हो सकता है या एक प्रकार का एक्सएसएस पोस्ट हो सकता है):

• डोम मॉडल

डोम-आधारित एक्सएसएस विशेषताएं

जैसा कि यह कहना आसान है, यह कहना बहुत आसान है कि "असाधारण" गैर-देशी XSS के कार्यक्रम को HTML कोड प्रदर्शित होने पर प्रोग्राम किया जा सकता है। उदाहरण के लिए, पॉसिलन्या निम्न रैंक से बनता है:

Http://example.com/search.php?q= "/>

और जब आउटपुट HTML कोड प्रदर्शित होता है, तो यह इस तरह दिखता है: