JavaScript injekcija
JavaScript injekcija tai visai gera nulaužimo technika ir paprasta.
Pirmiausiai išmoksim, kaip pridėti daugiau JavaScript kodo savo naršyklėj jau atvertam puslapiui joje. Nereikia džiaugtis per daug, nes kitų mašinų tai tiesiogiai nepaveiks, bet tai yra labai naudinga, nes galima puslapyje žymiai daugiau nuveikti nei tampant jį su pele, ko pasėkoje kitos mašinos gali būti paveiktos:
Shift+F4 ant Firefox 11.0
Ten įrašom:
alert(document.cookie);
Ir spaudžiam run (ctrl+R) Gaunam lentelę su document.cookie verte. Kaip smagu. Dabar ką nors pakeičiam, pvz. savo vartotojo vardą:
void(document.cookie="username=admin");
Galima ir tiesiog keisti puslapio vertes kaip norisi, elementarus pvz. fonas:
void(document.bgColor="blue");
Aišku šita vertė įsilaužimui netiks reikia daugiau išradingumo.
Labai gerai jei puslapyje yra komentarai, o į juos įrašytus skriptus ir išsaugo ir paleidžia kiekvienam lankytojui. Dabar taip būna labai retai.
Praktika
[keisti]Visai ne nulaužimas, bet paties principo pademonstravimas:
games.lt
einam, paleidžiam kodą:
alert(naujienos_linkas[0]); void(naujienos_linkas[0]="http://lol.com");
Spaudžiam "verta aplankyti" pirmą pasirinkimą ir gaunam naują rezultatą, aišku pats puslapis serveryje niekaip nuo to nepasikeitė. Tačiau atliekant tokias manipuliacijas kartais galima gauti ir rezultatą kuris butų prilygintas įsilaužimui: įtakoti serverio darbą ar kitų lankytojų matomą puslapio turinį.