Domov

Vpišite besedo, ki bi jo radi našli na strani ali pa kliknite Najdi na tej strani. Na voljo vam je tudi Zemljevid strani.

Dobite si svoj iskalnik na http://www.freefind.com

ostali iskalniki

Google
Najdi.si
Matkurja
Yahoo!
Raziskovalec
MSN search
Scirius

Si obiskovalec številka
261416
od 14.7.2004

Pozor

Vedno si shranite delo preden kliknete na kak link! Obstaja možnost, da bo sistem nepredvideno reagiral in se bo resetiral!

Skripte na tej strani služijo informativnemu namenu, da vas opozorijo na napake in nevarnosti interneta! Vsaka zloraba le-teh ni zaželjena!
Torej, raje opozori še druge na napako kot pa da jo izrabljaš v zle namene >:-(!

Zlobne skripte

  Glas plus 0 Glas minus 0 Domov > Računalništvo - članki > Zlobne skripte

Internet Explorer CSS crash

IE bugov je obilo, tale se tiče sposobnosti renderiranja CSS. Če v kodo zapišete nekaj takega:

<style>*{position:relative}</style>
<table>
<input>
</table>

se vam bo Internet Explorer veselo sesul. Za tiste, ki CSS oblikovanja ne poznajo, naj povem, da koda *{position:relative} vsem elementom na spletni strani nastavi relativno pozicijo. Internet Explorer tega očitno ne prebavi in se sesuje. Tisti, ki morajo vsako zlobno kodo preizkusiti, naj tole povezavo veselo kliknejo.

Bežeče slike

Tole ni ravno zlobna skripta, je pa zelo zabavna. Izvedete jo lahko tako, da v naslovno vrstico brskalnika vpišete tole kodo:

javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI= document.images; DIL=DI.length; function A(){for(i=0; i<DIL; i++){DIS=DI[ i ].style; DIS.position='absolute'; DIS.left=Math.sin(R*x1+i*x2+x3)*x4+x5; DIS.top=Math.cos(R*y1+i*y2+y3)*y4+y5}R++}setInterval('A()',5 ); void(0)

Stran mora vsebovati bilokakšno sliko. Če vas muči firbec kako to zgleda na tej strani, lahko tudi kliknete na sledečo povezavo:Klikni me nežno

JavaScript in alert('Hack') :)

Ah, le kaj bi brez funkcije alert() v javascript. Nepogrešljiva je pri debugu raznih JavaScript čudes, pri podajanju informacij uporabniku, pri raznih opozorilih itd. Če še vedno ne veste o čem govorim, pojdite z miško čez podčrtan tekst: Previdno premakni miško čezme!.
Kot ste mogoče opazili, se je sporočilo pojavilo tolikokrat kot ste šli z miško čez kakšen del besedila. Če ste šli čez celo besedilo, bog pomagaj :), se je pokazalo kar precej okenc.

Da bi izkoristil funkcijo alert() v zle namene :), sem spisal preprosto skripto:

function tecnari() {
alert('Owned ;)');
setTimeout('zapiranje()',3600000)
tecnari();
}
function zapiranje() {
window.close();
}

Da bi se sploh izvedla pa sem jo klical ob body onload dogodku.

Skripta je prava javascript nočna mora, saj se jo da prekiniti le tako, da brskalnik končate preko Task Managerja. Zadevo lahko stestirate na lastno odgovornost s klikom na tale link: [Klikni me nežno]. Še enkrat opozarjam, da skripto prekinete boste morali zapreti brskalnik ali pa počakati, da se okno zapre samo - sem vgradil ta backdoor :). Odprlo se bo novo okno. Če boste imeli težave z zapiranjem, uporabite Ctrl+Alt+Del in prekinite program.

Rad bi povedal, da je sramota, da se taki takeoverji (prevzemi) brskalnika sploh dopuščajo. Avtorji brskalnikov bi lahko vgradili možnost prekinitve izvajanja javascripta ob vsakem času (edino Opera 9.10+ to omogoča). Če bi se meni to dogodilo ob brskanju bi ponorel in poskrbel za to, da bi bilo avtorju skripte večno žal. Seveda upam, da ne boste podobnih prijemov uporabili na meni :D. V tej rubriki namreč poskušam opozarjati na napake, da se jih lahko obvarujete!

Opera 9 in dolgi URL

Pred kratkim je izšla Opera 9 nabita s novimi funkcijami kot so Widgets, Bittorrent odjemalec, nastavitve za vsako stran posebej itd.
Ni dolgo trajalo, ko se je že pojavila napaka, ki brskalnik zagotovo sesuje. Če spletna stran namreč vsebuje izredno dolgi link, bo pri Operi to povzročilo sesutje.
Skripto lahko stestirate na lastno odgovornost.
Popravek še ni izdan, upajmo da bo kmalu

Ranljivost ukaza shell

Pred kratkim se je pojavila novica o varnostni luknji, ki omogoča zlobnemu piscu websajtov, da preko ukaza shell, sesuje brskalnik, ali pa dostopa do direktorijev na obiskovalčevem računalu. Prizadeti brskalnik je Mozilla, začuda pa skripta deluje tudi na IE 6.0 s SP1. Na Mozilla.org si že lahko snamete popravek za to težavo. Tu pa nekaj linkov za demonstracijo:

Klikanje teh linkov vam lahko sesuje sistem!!!!!!!!!!

  • shell:windows\web\nosuchfile.htm
    Link ustvari DOS preko protokola shell in linka na neobstoječo datoteko. Brskalnik bo odpiral nova okna dokler ne bodo porabljena sistemska sredstva ali pa se sesul, ko bo oken preveč. Pri meni se ne zgodi nič od tega, je pa res, da se odpre 189 oken in porabi 223 MB RAM:-), ko boste popravek namestili, vam link ne bo deloval!
  • shell:windows
    Link odpre direktorij Windows
  • shell:windows\system
    Preko tega ukaza lahko torej odpirate poljubne mape v direktoriju Windows.
  • shell:windows\win.ini
    Ne samo direktorijev ampak tudi datoteke

Lažne končnice datoteke

Zelo neljuba zadevščina so datoteke na internetu z lažnimi končnicami, tako je lahko naprimer slika s končnico .jpg v resnici spletna stran, ki izvede zlobno kodo in se zagnezdi v kak program (npr. IRC). V resnici sploh ne veste, da gre za fake, ker pač deluje vse bp in slika se v resnici tudi pokaže.
Izvedi
Slika je v resnici v .jpg preimenovana html datoteka, ki vas preusmeri. Dela pa kje drugje kot v IE :-)

Prevelika atributa width in height

Tudi če je povezava le na navadno HTML datoteko, vam jo lahko pisec spletnih strani hudo zagode in nastavi naslednjo kodo slike:

<img src="crashme.jpg" alt="Sesuj me nežno :)" width="999999" height="999999">

Slika je lahko poljubne velikosti in v bistvu ne igra pomembne vloge, pomembna sta atributa width in height.
Ta koda takoj hudo obremeni procesor (in grafični gonilnik bi sklepal, glede na to da se mi je enkrat le-ta sesul), in seveda takoj nastane možnost, da se bo sistem enostavno resetiral ali pa boste ugledali BSOD (Blue Screen of Death). Če imate močno in High end mašinco, naj ne bi bilo nič narobe. Meni se je resetiral sistem na Athlon XP 1800+, 768 RAM, R9500Pro 128 MB, ker sem poslušal glasbo v Winampu med odpiranjem. Če ne poganjam nobenih programov, se sistem ne sesuje.

Da bi zadevo preizkusili kliknite na povezavo crashme.html in ako radi tvegate, vam srčno priporočam, da si sliko poskušate ogledati tako, da uporabite drsnike ;-).

Dolg naslov spletne strani in Firefox

Pred kratkim je izšel Firefox 1.5, ki je prinašal kar precej sprememb in novosti. Ker pa nobena izdaja ni brez napak, se je kmalu pojavila vest o ranljivosti firefoxa. Do napake lahko pride, ko uporabnik obišče spletno stran, ki namerno vsebuje zelo dolgo ime strani. Sicer se firefox ne sesuje oziroma obesi takoj, ampak ob vsakem ponovnem zagonu, saj shranjuje podatke o obiskanih spletnih straneh v datoteko history.dat, ki jo prebere ob vsakem zagonu. Firefox prične obremeni procesor na 100% in se ne odziva na ukaze. Problem se lahko začasno odpravi, če izbrišete datoteko history.dat v mapi z osebnimi nastavitvami brskalnika (C:\Documents and Settings\Uporabnik\Application Data\Mozilla\Firefox\Profiles). Mogoče je celo najbolje, da začasno izklopite zgodovino (Orodja -> Možnosti -> Zgodovina -> Zapomni si obiskane strani zadnjih 0 dni) dokler na voljo ne bo popravek. Zadevo lahko stestirate na lastno odgovornost :)

Hack-It!

Tudi z Javascript se da narediti hude zaščite, ki sicer niso nezlomljive, jih je pa vseeno težko razrešiti. Ena izmed teh je tudi Mitarjev Hack-It, ki v celoti temelji na JavaScript in ga je izredno težko zlomiti. No, da je zadeva razrešljiva sem se lahko prepričal sam, saj sem jo "shekal" po večdnevnem trpljenju (skoraj nisem spal in jedel :-). Trenutno so zadevo rešili trije, poskusite še vi...

Copyright 2002-2009 Andrej Mernik, vsa vprašanja na e-mail. Pa še Posebna zahvala. Stran je bojda narejena v skladu s XHTML standardi. Za spremljanje novosti lahko uporabite tudi RSS.