in

Darkthread

黑暗執行緒
All Tags » Security » Javascript (RSS)

Browse by Tags

  • 隱含殺機的GET式AJAX資料更新

    jQuery的出現讓AJAX網頁的開發瞬間變簡單了。只要寫支簡單的ASPX,用Request["..."]接入前端用jQuery.ajax()傳來的參數,馬上就實現了AJAX式的資料查詢、新增、修改、刪除功能。但是,小心不要寫出如下的程式碼: protected void Page_Load( object sender, EventArgs e) { if (Request[ "mode" ] == "del" ) { try { CheckCookieForAuthentication(); CheckPermission(); Guid...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 04-15-2009

  • TIPS-使用CSS客製Reporting Service匯出選項

    很久很久以前,我寫了一篇KB介紹停用特定Reporting Service報表匯出格式的 做法 ,除了修改config外,我還提出了可以透過指定Stylesheet遮蔽部分匯出選項的做法。 使用Stylesheet的做法,使用者可以透過去除URL rs:stylesheet參數讓防護手法破功,因此我在原先的KB裡只稍稍帶過,並未再花時間再深入研究。不過,日前網友草莓妹問到如何利用第二種方法,以CSS引進Javascript去更動內容。 雖然我覺得用Stylesheet去卡Reporting Service匯出選項的實用性不高,但這一招在某些只允許你改變CSS,不准變動網頁內容的場合有些用處,所以花了點時間...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 04-09-2008

  • TOOLS-"Trixie": Customize Your Web Surfing

    一直很羡慕FireFox上有各式各樣的外掛可以加,其中 Greasemonkey 是一直讓我流口水的功能之一。 (想知道Greasemonkey的神通廣大可以參考 這裡 、 這裡 ) 覺得某個網站的介面太鳥、功能太少,馬上可以自己動手改造成自己想要的樣子,這是多麼爽快的事。Greasemonkey提供了針對不同的網站/網頁時啟動專屬Javascript的功能,專屬的Javascript可以直接取存該網頁的DOM,用DHTML的技巧改變某個Element、或加上自己寫的華麗輔助UI。(換個角度想,你的網站如果都只靠Javascript來做安全管控,這下就慘了) 而 Trixie ,就是寫給IE用的Greasemonkey...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 06-05-2007

  • 有趣的木馬解剖

    同事回報發生了疑似中毒事件,查看的結果,發現中毒的機器用IE讀取網頁時(包含 http://www.google.com.tw )在HTML Source的最前端會被插入一列: <script src="httq://www_blogo_tw/lan.js"></script> (註: 為防止有害URL被誤觸,我做了一些變造處理) 由這個現象,可確定是中了惡意軟體無誤,網管同事最後用 AdWare SE 反間諜軟體將它掃除。但我好奇它的設計原理,情不自禁又鑽了進去... 首先,lan.js長這副德行: eval(function(p,a,c,k,e,d...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 05-31-2007

  • KB-怪異的Permission Denied Script Error

    同事有個網站,是一個http的網頁中,用<FrameSet>包了兩個https的<Frame> Frame1 & Frame2,三個網頁都在同一個網站上。問題來了,網頁在絕大部分的人的機器上都正常,就獨獨一位老兄的IE6,在操作過程中會出現Permission Denied的Script Error。 經檢查,問題出在Frame1中用了一段parent.Frame2.location.href的寫法去更動Frame2的URL,我們都知道這種寫法在跨Domain時會發生Permission Denied Error,但二個網頁明明是用https連向同一台Web Server...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 05-18-2007
第1頁,共1頁 (5個項目)
Powered by Community Server (Non-Commercial Edition), by Telligent Systems