[JS] javascript buiten <script> - Softwareontwikkeling

donderdag 14 oktober 2004 19:08

Acties:

Verwijderd

Topicstarter

Just curious... is er een manier om Javascript uit te voeren buiten een <script>-tag en een onClick (etc, etc)?

Heb er ff naar gegoogled, maar daar valt weinig te vinden.

Achterliggende reden: ik ben bezig met iets tegen bepaalde exploits, en dan is het wel zo makkelijk al ik alleen <script> etc hoef af te vangen

donderdag 14 oktober 2004 19:11

Acties:

Verwijderd

Kan je misschien iets meer info geven?
Bedoel je voor een forum of gastenboek ofzo?

donderdag 14 oktober 2004 19:15

Acties:

Verwijderd

Bepaalde zaken zul je ook moeten afvangen, zoals eigenlijk alles waar iets via een url kan worden geladen. Zaken als link tags (met een href attribuut), img tags (src attribuut), object tags (classid, uri, data, archive), applets etc.

[img]"javascript:alert('hoi');"[/img] wil nog weleens werken

[ Voor 13% gewijzigd door Verwijderd op 14-10-2004 19:15 ]

donderdag 14 oktober 2004 19:54

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 oktober 2004 @ 19:11:
Kan je misschien iets meer info geven?
Bedoel je voor een forum of gastenboek ofzo?

Het is voor een webbased iets met een inlogprocedure. Meer kan ik er nu ff niet over zeggen (klinkt overtrokken, maar het is kind of secret

).

[ Voor 17% gewijzigd door Verwijderd op 14-10-2004 19:55 ]

donderdag 14 oktober 2004 21:01

Acties:

Genoil

code:

<body onload="
s=document.createElement('script');
s.src='evil.js';
s.onload= function() { startevil(); };
document.body.appendChild(s)" 
/>

dit werkt alleen in FF, voor IE moet je ipv onload onreadystatechange gebruiken.

[ Voor 60% gewijzigd door Genoil op 14-10-2004 21:10 ]

donderdag 14 oktober 2004 21:25

Acties:

Verwijderd

Topicstarter

Alle on... (onLoad, onClick, etc.) attributen worden er uitgefilterd.

donderdag 14 oktober 2004 22:05

Acties:

Verwijderd

Dit werkt ook gewoon (in IE) ..

<div style="color:expression(alert('blaat'));">Blaat</div>

donderdag 14 oktober 2004 22:16

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 oktober 2004 @ 22:05:
Dit werkt ook gewoon (in IE) ..

<div style="color:expression(alert('blaat'));">Blaat</div>

Interessant! Weet je ook in welke IE versie(s) het werkt? In IE6 niet zo te zien (en in andere browsers ook niet)?

donderdag 14 oktober 2004 22:20

Acties:

MBV

waarom filter je (bij een forum) niet alle < en > er tussenuit? In dit forum moet je niet voor niets alles in [] tags ipv <> tags zetten... Er zijn zoveel exploits, dat je het nooit allemaal af kan vangen. Zeker voor IE

donderdag 14 oktober 2004 22:32

Acties:

Verwijderd

Topicstarter

MBV schreef op 14 oktober 2004 @ 22:20:
waarom filter je (bij een forum) niet alle < en > er tussenuit? In dit forum moet je niet voor niets alles in [] tags ipv <> tags zetten... Er zijn zoveel exploits, dat je het nooit allemaal af kan vangen. Zeker voor IE

De moeilijkheid is dat het een filter is voor een webmail, die html-mail gewoon door moet laten, maar op geen enkele manier javascript uit mag voeren (en nog wat andere dingetjes), omdat gebleken is dat er gebruik gemaakt kan worden van een exploit.