נטפרי עם הפנים למתכנת.

רחמים

עשיתי כזה ולא עובד

^https?://*
=
 (function (window) {  alert("שלום עולם !"); })(window);

פורסם במקור בפורום CODE613 ב08/11/2015 09:02 (+02:00)

trew

גיקי ויעיל לחלוטין <!-- s:-) --><img src="{SMILIES_PATH}/icon_e_smile.gif" alt=":-)" title="מחייך" /><!-- s:-) -->
רק בעיה אחת, התכונה הזאת עלולה להפיל את המשתמשים לMITM.
אני חושב שמגיע להם לדעת שיש הזרקה כלשהי.
אפשרות אחרת היא שלא בכל מקום התכונה הזאת תעבוד (יותר כאב ראש).

פורסם במקור בפורום CODE613 ב08/11/2015 09:03 (+02:00)

clickone

@trew

גיקי ויעיל לחלוטין <!-- s:-) --><img src="{SMILIES_PATH}/icon_e_smile.gif" alt=":-)" title="מחייך" /><!-- s:-) -->
רק בעיה אחת, התכונה הזאת עלולה להפיל את המשתמשים לMITM.
אני חושב שמגיע להם לדעת שיש הזרקה כלשהי.
אפשרות אחרת היא שלא בכל מקום התכונה הזאת תעבוד (יותר כאב ראש).

זה לא עובר לכלל המשתמשים.
רק משתמש שנכנס לחשבון האישי שלו ומוסיף וכו'.
אז הוא גם יודע שעשה הזרקה.

פורסם במקור בפורום CODE613 ב08/11/2015 10:27 (+02:00)

trew

עכשיו בא נחשוב על מקום שמספק לעובדים שלו נט ומזריק לתוכו.
סתם גמ"חשב מסוג כזה או אחר.

בקיצור אינטרנט בדרך כלל הוא לא רק בשבילך

פורסם במקור בפורום CODE613 ב08/11/2015 12:08 (+02:00)

אהרן

@רחמים

עשיתי כזה ולא עובד

^https?://*
=
 (function (window) {  alert("שלום עולם !"); })(window);

א"א לכתוב פונקציות ישירות
רק קישורים להזרקות
זה מתווסף אחרי script src=

פורסם במקור בפורום CODE613 ב08/11/2015 12:12 (+02:00)

רחמים

אה...

פורסם במקור בפורום CODE613 ב08/11/2015 13:12 (+02:00)

magicode

אפשר לקודד את זה ל BSAE64 ולהכניס את זה ככה.

google
=
data:text/javascript;base64,YWxlcnQoJ2hlbGxvJyk7

פורסם במקור בפורום CODE613 ב08/11/2015 14:55 (+02:00)

dovid

אדיר הדבר הזה...

אגב אפשר להמיר טקסט לBase64 בפקודת PowerShell:

[System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes("(function (window) {  alert(`"שלום עולם !`"); })(window);"))

פורסם במקור בפורום CODE613 ב08/11/2015 15:11 (+02:00)

מלבב

@mat

תכונה חדשה בנטפרי.

בהצלחה!.

אפשר הסבר פשוט עבור אלו שלא מבינים; למי זה נועד, ולשם מה עשו דבר כזה?

האם המשתמש הפשוט יידע איך להשתמש בזה?

תודה רבה!!!

פורסם במקור בפורום CODE613 ב08/11/2015 15:53 (+02:00)

רחמים

@mat

אפשר לקודד את זה ל BSAE64 ולהכניס את זה ככה.

google
=
data:text/javascript;base64,YWxlcnQoJ2hlbGxvJyk7

זה המון בלאגן לעבוד ככה
וגם בעיות בקידוד, שלום עולם הנ"ל נראה כך:

לכידה.PNG

פורסם במקור בפורום CODE613 ב08/11/2015 16:13 (+02:00)

kingyes

הרעיון מעניין מאוד, אבל למה לא להשתמש כבר דרך הדפדפן בדברים כאלו? כמו לדוגמא GreaseMonkey?

פורסם במקור בפורום CODE613 ב08/11/2015 17:38 (+02:00)

magicode

@trew

עכשיו בא נחשוב על מקום שמספק לעובדים שלו נט ומזריק לתוכו.
סתם גמ"חשב מסוג כזה או אחר.

בקיצור אינטרנט בדרך כלל הוא לא רק בשבילך

בכל מקרה הם יכולים להזריק.

פורסם במקור בפורום CODE613 ב08/11/2015 18:47 (+02:00)

אהרן

http://www.prog.co.il/showpost.php?p=1839574&postcount=998

פורסם במקור בפורום CODE613 ב08/11/2015 23:50 (+02:00)

clickone

@trew

עכשיו בא נחשוב על מקום שמספק לעובדים שלו נט ומזריק לתוכו.
סתם גמ"חשב מסוג כזה או אחר.

בקיצור אינטרנט בדרך כלל הוא לא רק בשבילך

מקומות עבודה לא צריכים להגיע להזרקת סקריפטים.
הם שמים תוכנת ריגול. (שבחלקה אתה יכול לכתוב לבד, כמו מעקב אחרי הקשות, צילומי מסך פעם ב... וכו')
וכן מי שהולך לגמ"חשב כנ"ל. בלי קשר לנטפרי, תמיד צריך לחשוש שיוכלו לעקוב אחרי הפעילות שלו.

לך תראה מה המצב בעירייות. שם יושבים להם על הקצה ללא קשר לאינטרנט כשר.

הבעייה אולי נמצאת במקום אחר.
כמו לקוחות שלי, שהחיבור שלהם בנטפרי מקושר לחשבון שלי ואני יכול להזריק להם JS. (למרות שלדעתי זו לא בעייה, כי באותה מידה אני יכול לשים להם תוכנת ריגול על המחשב [ללקוחות שלי שנכנסים לכאן: זה רק לצורך הדוגמא, אל דאגה :)]
אבל גם אם נשים להם הודעה למעלה (כמו בויקיפדיה) [כמו שאני מבין מבין השורות שאתה מעדיף שיהיה] - "זהירות, מישהו יכול להזריק JS" או משהו דומה, גם את זה אפשר להעיף עם ההזרקת JS.
למרות שמאט לימד אותנו ש"אין דבר כזה שאין דבר כזה" <!-- s:-) --><img src="{SMILIES_PATH}/icon_e_smile.gif" alt=":-)" title="מחייך" /><!-- s:-) -->

פורסם במקור בפורום CODE613 ב09/11/2015 00:48 (+02:00)

רחמים

כזה סקריפט היה צריך לעבוד לכאורא, אך משום מה לא עובד:

*
=
javascript: (function (window) {  alert('שלום עולם !'); })(window);

פורסם במקור בפורום CODE613 ב09/11/2015 10:24 (+02:00)

dovid

@רחמים

כזה סקריפט היה צריך לעבוד לכאורא

לא אמור לעבוד. ההזרקה מכניסה תגית סקריפט ואת מה שאתה כותב בתוך האטריביוט src.
למשל במקרה שלך נוצר הפלט הזה:

<script src="javascript: (function (window) {  alert('שלום עולם !'); })(window);"></script>

לעומת זאת זה כן עובד:

<script src="data:text/javascript;base64,YWxlcnQoJ25vbiBhc2NpaSBjaGFyYWN0ZXIhJyk7"></script>

פורסם במקור בפורום CODE613 ב10/11/2015 19:54 (+02:00)

רחמים

אכן אתה צודק, בתחילה בדקתי בפקד הדפדפן של דוטנט וסקריפט הנ"ל עבד, אבל כעת בדקתי בכרום ובאקפלורר והסקריפט לא עובד, מוזר לא?

פורסם במקור בפורום CODE613 ב10/11/2015 21:21 (+02:00)

dovid

@רחמים

בתחילה בדקתי בפקד הדפדפן של דוטנט וסקריפט הנ"ל עבד

איך הזרקת אותו?
שים לב שבפקד הדפדפן יש לך שליטה מה הדפדפן יעשה (אתה יכול לגרום לו לעשות כל מה שאתה רוצה), ואילו בנט פרי סה"כ משנים את הדף שהדפדפן מקבל ותו לא.

פורסם במקור בפורום CODE613 ב11/11/2015 10:50 (+02:00)

רחמים

הצגתי בפקד הפדפן את הדף הבא:

<html>
<head>
    <script type="text/javascript" src="javascript: (function (window) {  alert('שלום עולם !'); })(window);"></script>
</head>
<body>
</body>
</html>

ובאמת ההודעה קפצה.
אבל כפותחים את הדף הנ"ל בכרום לא קופץ כלום.

פורסם במקור בפורום CODE613 ב11/11/2015 13:07 (+02:00)

dovid

לא הכרתי, זו התנהגות של IE. הפקד משתמש גם הוא בIE.
מה שמשונה שזה יעבוד לך גם בתגית img...:

<img src="javascript: (function (window) {  alert('שלום עולם !'); })(window);"></img>

פורסם במקור בפורום CODE613 ב12/11/2015 14:22 (+02:00)