Author: MDT | Added:27.4.2007 22:45 | Last update: 9.5.2007 23:35 | Readed: 3878x
Dneska si vysvětlíme dobře známou techniku javascript injection, která by se vám mohla občas hodit. Slou?í k změně dat na stránce, mů?ete měnit cookies, nastavovat hodnoty polí formuláře (například hidden polí), ale také mů?ete do stránky vkládat nové prvky atd. Mů?ete tak měnit obsah odeslaných údaju a dřív se tak například dali měnit ceny zbo?í ve va?em nákupním vozíku v internetových obchodech (dnes u? je vět?ina obchodů chráněna). Přitom je to tak jednoduché, v?echno co vět?inou budete potřebovat jsou příkazy void a alert. V?echno e zapisuje do prázdného pole s adresou (bez http:// nebo cehokoliv jineho) a začíná protokolem "javascript:" a dál u? pokračuje samostatný kód například:
Mů?ete zapsat i více příkazů za sebou:
To byla trocha teorie a jde se na věc. Dejem tomu, ?e chceme změnit hodnotu skrytého pole se jménem admin z no na yes, tak nejdřív si příkazem alert najdeme dané pole daného formuláře (buď zkou?íme nebo podle zdrojového kódu):
A pak pomocí příkazu void změníme jeho hodnotu z no na yes:
javascript: void(document.forms[0].elements[3].value='yes');Pak jen formulář ode?leme a je to. Místo například forms[0] nebo elements[0] mů?eme psat i názvy formulářů nebo jejich prvků, například forms['login'] nebo elements['user'] nebo jen místo celého forms['login'] nebo elements['user'] jen login a user:
Hodnoty prvků formulářu ale není v?e, co mů?eme měnit. Zmiňoval jsem se taky o mo?nosti měnit cookie stránky, co? neni o moc tě??í. Nejdřív si necháme cookie zobrazit (pokud nějaké je):
A pak opět změníme jeho hodnotu:
Pak si mů?ete nechat cookie znovu zobrazit a vidíte, ?e va? klíč a hodnota se přidali nakonec. Toto jsou jen základní mo?nosti, jak javascript injection vyu?it, ale jsou to ty nejbě?něj?í a pro dne?ek by nám to stačilo.
-------------------------------------------------------------------------------------------------------------------------
