Не френд. - Потому что некуда инжектить. Представь , что добрался через "просмотр кода страницы" до "текста скрипта на странице" и не видишь там вообше ни одного SQL-запроса.Originally Posted by химик
Re: Ну и как ломать веб-страничку ?
Не френд. - Потому что некуда инжектить. Представь , что добрался через "просмотр кода страницы" до "текста скрипта на странице" и не видишь там вообше ни одного SQL-запроса.
Жизнь дается человеку один раз и прожить ее надо так, чтобы не ошибиться в рецептах.
Строить Асгардию побуждает тьма, посетившая людские души
Re: Ну и как ломать веб-страничку ?
Так тебе шашечки или ехать ??
Тебе спарсить контент надо.. или сломать ??
Deus quos vult perdere dementat prius (c)
Re: Ну и как ломать веб-страничку ?
ты уже видел "код странички" - "парсить" оттуда просто нечего ( да и ломать вообще-то тоже ). Но ведь хочется же!
( видео граберы , например , умудряются определять src для динамически созданного внутри скрипта тега video - это как раз почти понятно как - видеопоток ведь в браузер всё равно откуда-то идёт )
HTML Code:<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Как это поломать-распарсить?</title> </head> <body> </body> <script src="http://www.neverland.nowhere/application.js"></script> </html>
Last edited by crazy-mike; 07-24-2015 at 01:41 AM.
Жизнь дается человеку один раз и прожить ее надо так, чтобы не ошибиться в рецептах.
Строить Асгардию побуждает тьма, посетившая людские души
Re: Ну и как ломать веб-страничку ?
Кстати - "Русскую Америку" вообще-то можно "парсить" и даже "тырить".
HTML Code:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <!-- BEGIN TEMPLATE: SHOWTHREAD --> <html xmlns="http://www.w3.org/1999/xhtml" dir="ltr" lang="ru" id="vbulletin_html"> <head> <!-- BEGIN TEMPLATE: headinclude --> <meta http-equiv="Content-Type" content="text/html; charset=Windows-1251" /> <meta id="e_vb_meta_bburl" name="vb_meta_bburl" content="http://forum.russianamerica.com/f" /> <base href="http://forum.russianamerica.com/f/" /><!--[if IE]></base><![endif]--> <meta name="generator" content="vBulletin 4.2.0" /> <link rel="Shortcut Icon" href="favicon.ico" type="image/x-icon" /> ...... <div class="bbcode_container"> <div class="bbcode_quote"> <div class="quote_container"> <div class="bbcode_quote_container"></div> <div class="bbcode_postedby"> <img src="images/misc/quote_icon.png" alt="Цитата" /> Сообщение от <strong>химик</strong> <a href="showthread.php?p=7223407#post7223407" rel="nofollow"><img class="inlineimg" src="images/buttons/viewpost-right.png" alt="Посмотреть сообщение" /></a> </div> <div class="message">SQL injection is your friend ;)</div> </div> </div> </div> <!-- END TEMPLATE: bbcode_quote -->Не френд. - Потому что некуда инжектить. Представь , что добрался через "просмотр кода страницы" до "текста скрипта на странице" и не видишь там вообше ни одного SQL-запроса. </blockquote> </div> </div> </div> <div class="after_content"> <!-- BEGIN TEMPLATE: ad_showthread_firstpost_sig --> <!-- END TEMPLATE: ad_showthread_firstpost_sig --> <blockquote class="signature restore"><div class="signaturecontainer" rel="nofollow">Жизнь дается человеку один раз и прожить ее надо так, чтобы не ошибиться в рецептах<br /> Именем его императорского величества объявляю ревизию сему сумасшедшему дому! Ну почему меня в этот исторический момент так тошнит?</div></blockquote> </div> <div class="cleardiv"></div> </div> </div> <div class="postfoot"> <!-- <div class="postfoot_container"> --> <div class="textcontrols floatcontainer"> <span class="postcontrols"> <img style="display:none" id="progress_7223463" src="images/misc/progress.gif" alt="" /> <a id="qrwq_7223463" class="newreply" href="newreply.php?do=newreply&p=7223463" rel="nofollow" title="Ответить с цитированием"><img id="quoteimg_7223463" src="clear.gif" alt="Ответить с цитированием" /> Ответить с цитированием</a> <span class="seperator"> </span> <a class="multiquote" href="newreply.php?do=newreply&p=7223463" rel="nofollow" onclick="return false;" id="mq_7223463" title="Multi-Quote This Message"><img id="mq_image_7223463" src="clear.gif" alt="Multi-Quote This Message" /> </a> </span> <span class="postlinking">
Жизнь дается человеку один раз и прожить ее надо так, чтобы не ошибиться в рецептах.
Строить Асгардию побуждает тьма, посетившая людские души
Re: Ну и как ломать веб-страничку ?
Ты посмотри код чата.. особенно форума чатовского.. его положить может любой школьник )
Deus quos vult perdere dementat prius (c)
Re: Ну и как ломать веб-страничку ?
Я ведь объяснил проблему - если контент в броузер доставляется не прямо с сервера , по http-get , а через XMLHttpRequest ( запрос AJAX ) - то ты его через "просмотр кода страницы" никогда не увидишь. Соответственно если ты страницу читаешь по http-get и при этом не выполняешь JavaScript на этой странице - то не можешь подглядеть на данные , которые генерируются на этой странице.
Т.е. ты не можешь таким способом ничего стырить - ни тексты рекламных объявлений о продаже славянского шкафа, ни сообщения о шифрах-паролях-явках , ни последние сводки о состоянии местного рынка щетины.
Жизнь дается человеку один раз и прожить ее надо так, чтобы не ошибиться в рецептах.
Строить Асгардию побуждает тьма, посетившая людские души
Re: Ну и как ломать веб-страничку ?
Майк ежу понятно нужно понять логику обратной связи а уж потом думать... Но если страница не интерактивная (ну то есть от юзера импут не принимает) то дело довольно дохлое - надо валить сервак
Ничто не сближает людей так, как общее одеяло :kos:
Re: Ну и как ломать веб-страничку ?
Ну откуда у вас всех там такие "замашки медвежатников" ?
Я ведь уже объяснил - если "валить сервак" , то просто не получишь "требуемые данные".
Есть предположение , что должен существовать какой-то другой способ. webkit - это ведь библиотека. Т.е. можно скомпилировать что-то , изображающее из себя браузер , но заставляющее "выполняться" JavaScript с такой странички. Можно и без webkit. Не так уж и сложно "парсить" собственно "код JavaScript" ( при помощи lex, awk, bison и т.д. и т.п. ). Ко всему прочему ведь и по-настоящему заниматься "грамматическим разбором" не обязательно. - просто поискать "сигнатуры" - вхождения "XmlHttpRequest" , "SQL" ( вдруг разработчики приложения "расслабились" ? ) и т.д.
Жизнь дается человеку один раз и прожить ее надо так, чтобы не ошибиться в рецептах.
Строить Асгардию побуждает тьма, посетившая людские души
Re: Ну и как ломать веб-страничку ?
Так тогда тебе не ломать надо.. а спарсить контент... конечно просто спарсить не получится... только с танцами с бубном )Ну откуда у вас всех там такие "замашки медвежатников" ?
Я ведь уже объяснил - если "валить сервак" , то просто не получишь "требуемые данные".
Есть предположение , что должен существовать какой-то другой способ. webkit - это ведь библиотека. Т.е. можно скомпилировать что-то , изображающее из себя браузер , но заставляющее "выполняться" JavaScript с такой странички. Можно и без webkit. Не так уж и сложно "парсить" собственно "код JavaScript" ( при помощи lex, awk, bison и т.д. и т.п. ). Ко всему прочему ведь и по-настоящему заниматься "грамматическим разбором" не обязательно. - просто поискать "сигнатуры" - вхождения "XmlHttpRequest" , "SQL" ( вдруг разработчики приложения "расслабились" ? ) и т.д.
И сервер надо не валить.. а получить root.
Deus quos vult perdere dementat prius (c)
Re: Ну и как ломать веб-страничку ?
самое прикольное - у него может не быть root вообще. ( виртуальный сервер - в т.ч. на виртуальной машине. Ну ещё ведь и "контейнеры" есть )
Жизнь дается человеку один раз и прожить ее надо так, чтобы не ошибиться в рецептах.
Строить Асгардию побуждает тьма, посетившая людские души
There are currently 1 users browsing this thread. (0 members and 1 guests)
Posting Permissions
|
Terms of Service | Privacy Policy |
 
|
Reply With Quote