ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Песочница (https://forum.antichat.io/forumdisplay.php?f=189)
-   -   Javascript на лету (https://forum.antichat.io/showthread.php?t=436081)

leksadin 20.01.2016 17:58

и вновь прошу помощи) Весь день гуглю.

на сайте javascript выполняется на стороне клиента (т.е. моего браузера). У меня стоит Iceweasel (Firefox). Как мне на лету отредактировать скрипт ?

Знаю, что в хроме такое вроде бы возможно. А у меня со стандартным отладчиком и фаербагом не получается. HTML код я могу подменять на лету, сразу срабатывает. А вот скрипты правлять не дают.. только могу точки остановки для отладки включать. Но редактировать код - нельзя((( Может, что не правильно делаю. Объясните пожалуйста.

P.s. Нужно это вот для чего. На сайте есть форма для текста.Там стоят проверки в html на символы, против xss. Но они на стороне клиента. Поэтому я могу их выпилить. Аналогично, есть ещё доп. защита в виде обработки текста с помощью javascript. И тоже на стороне клиента. Соответственно, подредактировав его - я смогу запостить xss.

private_static 20.01.2016 18:13

тоже изучал недавно эту проблему

всё что удалось нарыть на англоязычных ресурсах - firefox не разрешает править js сайта, в браузерах основанных на хромиуме - можно

в итоге обошёл проверку бурпом

H@rd 20.01.2016 21:06

Цитата:

Сообщение от None
Нужно это вот для чего. На сайте есть форма для текста.Там стоят проверки в html на символы, против xss. Но они на стороне клиента. Поэтому я могу их выпилить. Аналогично, есть ещё доп. защита в виде обработки текста с помощью javascript. И тоже на стороне клиента. Соответственно, подредактировав его - я смогу запостить xss.

Можно перезаписать обработчики событий - нажатия клавиш/onclick формы - т.е. в зависимости от того, когда срабатывает защита.

altblitz 20.01.2016 21:16

Цитата:

Сообщение от leksadin

... А вот скрипты правлять не дают.. только могу точки остановки для отладки включать. Но редактировать код - нельзя((( Может, что не правильно делаю. Объясните пожалуйста.

Цитата:

Сообщение от H@rd

Можно перезаписать обработчики событий - нажатия клавиш/onclick формы - т.е. в зависимости от того, когда срабатывает защита.

У меня для вас - плохие новости.

Цена на жижу упала ниже некуда, и эти потехи с XSS и JS - отменили ещё в 2001 году, в браузере Netscape.

http://ic.pics.livejournal.com/altbl...6_original.jpg

Ins3t 20.01.2016 21:52

если данные формы отправляются не через XMLHttpRequest() - отключи просто джаваскрипт у себя в браузере и отправляй

grimnir 20.01.2016 22:55

http://commons.oreilly.com/wiki/inde...semonkey_Hacks поможет?

leksadin 21.01.2016 02:11

Цитата:

Сообщение от private_static

тоже изучал недавно эту проблему
всё что удалось нарыть на англоязычных ресурсах - firefox не разрешает править js сайта, в браузерах основанных на хромиуме - можно
в итоге обошёл проверку бурпом

Не хочется ставить хромы...

leksadin 21.01.2016 02:13

Цитата:

Сообщение от altblitz

У меня для вас - плохие новости.
Цена на жижу упала ниже некуда, и эти потехи с XSS и JS - отменили ещё в 2001 году, в браузере Netscape.
http://ic.pics.livejournal.com/altbl...6_original.jpg

Но хромиумы же это могут.

leksadin 21.01.2016 02:21

Цитата:

Сообщение от H@rd

Можно перезаписать обработчики событий - нажатия клавиш/onclick формы - т.е. в зависимости от того, когда срабатывает защита.

Если не сложно - чуть-чуть подробнее, пожалуйста

leksadin 21.01.2016 02:22

Цитата:

Сообщение от Ins3t

если данные формы отправляются не через XMLHttpRequest() - отключи просто джаваскрипт у себя в браузере и отправляй

не сработало( тогда вообще не отправляется пост.


Время: 22:05