XSS Coder - Malý pomocník

Kategorie: IT/Security | Zobrazen: 12476x Datum: 11.3.2007

Popis programu, převádějícího řetězec na ascii hodnoty. Možnost využití při XSS.

Po dlouhé době jsem konečně naprogramoval něco jiného, než jen tupou úlohu do školy. Prográmek XSS Coder slouží, jak už je z názvu patrné, při využívání XSS. Někdy je výhodné XSS kód "zakódovat" (neberte doslova) tak, aby unikl pozornosti jak mechanismů, čekající na nepovolené znaky, tak majitele/admina stránek, který v případě, že není příliš IT gramotný, nebude váš kód chápat. Na tom, zda admin kód chápat bude či ne, vůbec nezáleží, důležitá je spíše prvně jmenovaná funkce. "Kódování", které jsem uvedl, není nic jiného než převod znaků na jejich ascii hodnoty - o tom jsem už psal dříve.

Použití programu je jednoduché a je dvojího druhu. Řetězec, který potřebujete převést na ascii hodnoty napíšete buď přímo do spuštěného programu, nebo program spustíte rovnou s parametrem, kde parametr je onen řetězec. Každý může použít způsob, který mu více vyhovuje. V obou případech se v adresáři s programem vytvoří soubor output.html, který bude obsahovat převedený řetězec rovnou opatřený tagy script a JS funkcí pro převod hodnot zpět na znaky.

Abych předešel zbytečným dotazům, zde je postup jak spustit program s parametrem. Dejme tomu, že potřebujeme převést tento řetězec: <h1 style="red">AHOJ!</h1>. Spusťte příkazový řádek, běžte do adresáře s programem a ten spusťte s parametrem takto:

xss "<h1 style="red">AHOJ!</h1>"

Všimněte si, že řetězec musí být uzavřený v uvozovkách. Program by jinak bral mezeru jako oddělovač parametrů a převedena by byla tedy pouze část <h1. Pokud používáte oblíbený souborový manažer Total Commander, můžete využít přímo jeho command line takto:

Total Commander

Program jsem vytvořil pro vlastní potřebu a zveřejňuji jej s tím, že je možné, že se bude ještě někomu hodit. Pro toho, kdo neumí programovat, je to ostatně lepší, než řetězec manuálně převádět s ascii tabulkou v ruce.

Program je šířen pod GNU/GPL licencí

Download programu (binárka + zdrojový kód)

Stoyan's signature

Předcházející článek: Zrychlení prohlížeče Firefox

Následující článek: Netradiční metoda násobení

Libí se vám tento článek? Zalinkujte ho: Linkuj tento článek
© Stoyan, 2006 - 2016