Форумы Java и чат.

Discussion in 'Уязвимости CMS/форумов' started by Lancer10, 9 Jan 2014.

  1. Lancer10

    Lancer10 New Member

    Joined:
    3 Aug 2010
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    Добрый день народ. Нужна помочь в понимании принципов работы одного java скрипта так как я, к своему сожалению, не силён в этом.
    Сижу на одном сайте уже давно и когда заходил в очередной раз с телефона, заметил что в процессе загрузки чата, загружаются кнопки для бана юзера в чате и удаления его поста. Предназначаются они, логично для модераторов, поэтому юзеры их не видят, но в source коде они есть. Пример кода кнопки:

    Code:
    class="admin-container"><a onclick="Chat.del(62605); return false;" 
    href="http://[B]sitename[/B]/chat/delete/62605.html" class="admin-link">[D]</a>*<a
     onclick="Chat.ban(62605); return false;"
    Далее в source есть сам скрипт чата
    Code:
    <script type="text/javascript" src="[B]sitename[/B].html_content/chat.js"></script>
    Сам скрипт: pastebin.com/G0utmGdF
    Можно ли будучи юзером, получить преимущества модератора, или всё зависит, исключительно от прав?
     
  2. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    565
    Likes Received:
    50
    Reputations:
    54
    Ах, внятно заданный вопрос строго по исторической тематике форума. Да еще и веб-чятик на яваскрипте. Я попал в прошлое.

    Вот интересующий вас код:
    Code:
            ban : function (id) {
                    var reply = prompt('Enter ban reason (user will be banned for 24 hours)');
                    if (reply != '') {
                            $.post('/chat/ban.html',
                                    {"id" : id, "reason": reply},
                                    function (data) {
                                            alert('User is banned ;)');
                                    }
                            );
                    }
            },
            del : function (id) {
                    $.post(
                            '/chat/delete.html',
                            {"id" : id, "confirm" : "yes"},
                            function (data) {
                                    alert('Message deleted!');
                            }
                    );
            }
    
    Как видно, эти кнопки отправляют post-запрос на /chat/delete.html | /chat/ban.html с двумя параметрами. Проверка реализуется локально, путем получения переменной moder извне. Реализуется ли проверка удаленно(а должна) - в этом весь вопрос. Стало быть, пробуйте. Можно сторонним софтом, можно браузером, написав руками html-заглушку, как это делали когда-то, а можно бразурным дополнением. В конце концов, неткатом тоже никто не запрещает.
     
  3. Lancer10

    Lancer10 New Member

    Joined:
    3 Aug 2010
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    Спасибо за подсказку, ещё бы кто нибудь растолковал по пальцам, "куды нажимать чтобы было чудо" ))) Ладно, буду гуглить.
     
  4. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    565
    Likes Received:
    50
    Reputations:
    54
    Скинь в лс адрес чата или jid.
     
Loading...
Similar Threads - Java
  1. Diserted
    Replies:
    25
    Views:
    3,705