Toks čia ir laužimas, tiesiog duomenų validacijos spraga. Šianakt nesimiega, tai vis dar tupiu lovoj su skreitinuku (taip rašosi?). Mėgstu kai fone veikia televizorius. Tokiu metu TV3 rodo kažkokią laidą, kur visokie iškrypeliai ir nepilnavetiškumo kompleksą turintys žmonės siunčia SMS ir bando susirast antrą pusę arba “V+V”. Fone pasodinta kažkokia pana ir daro šou: skaito horoskopus, sapnus aiškina, etc. Seniau buvo stengiamasi SMS žinutės kainą rašyti kuo mažesnėmis raidėmis, kad niekas nematytų, tačiau šiais laikais niekas taip nebedaro. Dabar egzistuoja dar geresnis būdas - kaina išvis nerašoma, o tiesiog pateikiamas svetainės adresas, kurioje “galite rasti žaidimo taisykles”.
Tas puslapis turbūt išvis nėra lankomas ir sukurtas tiesiog, kad būtų. Visgi kažkas mane patraukė ten pasižiūrėt ką jie ten gali rašyt. Atsivertęs aptikau vieną įdomų puslapį, kuriame pateikiamas visų atėjusių SMS žinučių sąrašas. Atėjusi žinutė talpinama į duomenų bazę ir iškart rodoma, o per televizorių rodomos žinutės šiek tiek vėluoja. Tai leido daryti prielaidą, kad galbūt sąraše pateikiamos žinutės dar nėra patikrinamos? Ir kažkaip užnižo man nagai…
SMS #1: “<b>nieko neiesko, nes geria alu.”
Veikia, bet beveik nesimato. Gal padarom gražiau?
SMS #2: “<h1>vis dar nieko neiesko, nes toliau geria alu.”
O kaip su JavaScript’u?
SMS #3: “<script>alert(’alaus?’);</script>”
Tai va. O viso šito moralas toks, kad reikia validuoti įeinančius duomenis nepriklausomai nuo to, ar jie ateina iš html formos, ar sms’u. “Koks durnius sugalvotų siųsti JavaScript’ą SMS’ais?” Iškart po atradimo parašiau laišką ir pranešiau apie klaidą. Kaip tyrimo kompensaciją (3 SMS’ai po du litu), gražiai paprašiau padovanoti kažkokį TeleJazz puoduką, kurį šianakt labai reklamavo, bet kažin. :-) Nors aš jų vietoj netaisyčiau klaidos, o palikčiau pasižaist kitiems. Vis keletą litų prisirinks.
Va cia tai geras, man patiko xD jei nesutvarkys, kas nors anksciau ar veliau kazka zalingo padarys xD
Super ;-)
o iki tv daeina šitie sms?
Heh… Tą patį XSS’ą galima panaudoti ir one.lt ;) .
Vat ir aš laukiau, kol televizoriuje pradės JavaScript alertai šokinėt :-) Kaip minėjau, TV žinutės yra moderuojamos. Ta pana, kur sėdi ekrane, jas atrinkinėja ir praleidžia. Vienu metu kažkaip pradėjo mėtytis (arba man pasirodė :-) ). Laukiau, tačiau taip ir nepastebėjau savo žinučių. Galbūt, kad buvau perdaug užsiėmęs jų rašymu, o gal paprasčiausiai nerodė.
Vis dar rodo “alaus?”… Žinoma!!!
Maladec!
Beje, dar gali pareikšti pretenzijas jiems, kad tavo žinučių per teliką nerodė :)
P.S. dar ir dabar rodo alaus? lentelę :-)
O jei nusiuntus sms su javascriptu, kuriame būtų begalinis ciklas, neužlūžtų žiūrinčių tą scriptą naršyklės?
Laidos metu nusiūstum, ir ką, vedėjai kiekvieną kart atsidarius langą su sms’ais jis vis nulūžtų.
Negailint litų galima pažaist… Scriptų atidarančių pup-up’us su kokiais nors psl. nusiūst..
che che, reik pas save nusiredirektint :))
u-, normalios naršyklės nebepakimba ant to. Jei neklystu Firefoxas ciklą vykdo kurį laiką, o paskui pasiūlo nutraukt, o Opera lyg iškart pastebi tokius ciklus ir išmeta lentelę su pasiūlymu nutraukti skripto vykdymą. Kaip naujas IE elgiasi - nepamenu.
Spėju šią naktį TeleJazz užsidirbs papildomų litų, ar ne? :-)
Povilai! Tau košės beržinės, o ne alaus. Tu Lietuvą į alkoholizmą vedi!
Bet spaudžiu penkis už mintį :-)
Tai tu geriau nusiusk document.location() ir redirektink lankytojus kitur. :)
Kas geriau ar blogiau, tai čia jau kita tema. Esmė buvo išbandyti ar veikia, o kažką gadinti nėra reikalo. Be to ten turbūt per dieną užsuka kokie du lankytojai tad daug nelaimėtum. Norint ką nors įdomiau nuveikti patogiausia būtų includinti nutolusį JavaScript failą, patalpintą kokiame nors serveryje. Tokiu atveju užtektų vieno SMS, o keisdamas failo turinį galėtum eksperimentuot kiek tik nori.
Siaip neabejoju beveik kad ta mergaite-moderatorius dirba su panasiu web’iniu interfeisu, tai gal ir visai juokinga butu nusiust skriptuka redirektinanti is ten . laidos metu aisku.
document.location() tai nusiunti sms toki ir tipo gali kazka daryti ten…pvz ka..?
Oi kiek tokių svetainių.. ‘Lietuviškam tinkle’.
UZUZZ, Čia norėjau akcentuoti ne XSS įterpimo galimybę, o būdą ir dažnas programuotojų klaidas filtruoti turinį tik ten, kur jis yra įterpiamas per formą. Pvz. wordpress’e darant įrašų importavimą taip pat galima (gal jau ištaisė) įkelti XSS kodą prie komentaro autoriaus vardo.
Supratau, tiesiog blogai išsireiškiau. P.S. mokejimai.lt buvo panaši problema.