Hmm, mach ein Delay von 5 Sekunden, dann die Meldung, JS muss aktiviert sein, dann nochmaln Delay und dann eine seltsame Fehlermeldung wie "konnte nicht gespeichert werden", aber bei onunload machst du dann was ganz nerviges. 
ei petz doch nich^^
und ich hab dir ja meine suicide-funktion gezeigt 
und mir fällt grad ein, dass die besagte seite auch nen button hat zum browser crashen, die könnte man ja mopsen, etwas umschreiben usw.
und die delays braucht man ja nichma, es reicht ja wenn man ne meldung ausgibt wie:
"du hast versucht ein script bei mir auszuführen, stell dir vor dein browser würd jetzt crashen..." und wenn der vogel auf ok klickt wird die suicide-funktion ausgeführt.
mir kommt grad der gedanke "was wäre wenn der xss-ler js beim input deaktiviert hat?"
einerseits wärs ja doof von ihm, weil er ja so nich merkt ob sein xss-angriff greift andererseits gibt es ja auch antiscript-dinger wo man jede auszuführende funktion freigeben muss- und da wäre ja nen serverseitiger fallback auch von nutzen...
PS ich habs mal in den internen bereich verschoben, muss ja nich jeder mitbekommen was hier so läuft, wir wollen ja nich anderen ne inspiration zum kacke machen bieten...
Das Delay soll einfach eine Spannung aufbauen. Und dann kommt "bitte JS aktivieren" und man kann sicher gehen, dass es klappt.
man könnte ja das ganze nich mit JS sondern mit PHP prüfen, dann so tun als wäre es gespiechert (also so ne "Eintrag-gespeichert-seite") aber dann nach, k.a. 2 sekunden die suicide funktion ausführen oder 1500 Fenster öffnen
man könnte ja das ganze nich mit JS sondern mit PHP prüfen, dann so tun als wäre es gespiechert (also so ne "Eintrag-gespeichert-seite") aber dann nach, k.a. 2 sekunden die suicide funktion ausführen oder 1500 Fenster öffnen
Problem: Pop-Up-Blocker
Ohne Benutzerinteraktion tut sich ncihts. Deswegen ist der Sendebutton besser
Naja, es gibt ja die suicide-Funktion. Mann kann ja auch beim onunload dann sowas machen:
for (i=0;0=0;i++) {
alert("Du hast bereits "+i+"mal geklikt, versuchs nochmal ;)");
}Da hilft ja eh nur der taskmanager.
Naja, es gibt ja die suicide-Funktion. Mann kann ja auch beim onunload dann sowas machen:
Codefor (i=0;0=0;i++) { alert("Du hast bereits "+i+"mal geklikt, versuchs nochmal ;)"); }Da hilft ja eh nur der taskmanager.
Oder Opera ;D Ich kann bei jedem Alert JS für die betreffende Seite deaktivieren^^
Dann könnte man ja ne weiche einbaun, wenns opera is wird einfach garnix angezeigt, dann hängt sich der Browser auf und ansonsten eben die Alerts, aber wie gesagt, die suicide-Funktion. Was macht die eig. genau?
Na dann könnte man ja immernoch ne 0=0-Schleife dranhängen
for/while is ja egal, aber man könnte noch nen schritt weiter gehen, mit JS prüfen ab Java da is, wenn ja nen App laden, welches Systemdateien löscht und ansonsten eben mit setTimeout() drei bis vier solche whiles(oderr for´s ;)) aneinander reihen. Damit wär die sache ja gegessen.
Das ist doch mal perfekt:
<html>
<head>
<title>Hehe</title>
<script type="text/javascript">
function sleep(milliseconds) {
var start = new Date().getTime();
for (var i = 0; i < 1e7; i++) {
if ((new Date().getTime() - start) > milliseconds){
break;
}
}
}
</script>
</head>
<body onunload="alert('hu'); sleep(5000); alert('hoh');">
Hallo!
</body>
</html>
Das Fenster ist schon weg (zumindest beim Firefox, beim Konqueror bleibt das Fenster sichtbar, bis onunload fertig ist) und dann kommt eine böse Nachricht.
Mit settimeout geht es nicht, muss ein busy-sleep sein.
for/while is ja egal, aber man könnte noch nen schritt weiter gehen, mit JS prüfen ab Java da is, wenn ja nen App laden, welches Systemdateien löscht und ansonsten eben mit setTimeout() drei bis vier solche whiles(oderr for´s ;)) aneinander reihen. Damit wär die sache ja gegessen.
Also damit ist man kein Stückchen besser als der Hacker
Das ist doch mal perfekt:
HTML<html> <head> <title>Hehe</title> <script type="text/javascript"> function sleep(milliseconds) { var start = new Date().getTime(); for (var i = 0; i < 1e7; i++) { if ((new Date().getTime() - start) > milliseconds){ break; } } } </script> </head> <body onunload="alert('hu'); sleep(5000); alert('hoh');"> Hallo! </body> </html>
Das Fenster ist schon weg (zumindest beim Firefox, beim Konqueror bleibt das Fenster sichtbar, bis onunload fertig ist) und dann kommt eine böse Nachricht.
Mit settimeout geht es nicht, muss ein busy-sleep sein.
Die Nachricht kann ich auch gleich so schreiben. Da bringt der Timeout nichts
lso damit ist man kein Stückchen besser als der Hacker
Das ist man schon damit nich, indem man die "suicide-funktion" ausführt. Von daher.... Man muss ja nich gleich systemdateien löschen, aber sowas in die art wäre doch brauchbar:
import javax.swing.JFrame;
import javax.swing.JLabel;
int i=0;
while (i<=1500) {
JFrame frame=new JFrame("huhu "+i.toString());
frame.setExtendedState(JFrame.MAXIMIZED_BOTH);
frame.add(new JLabel("Na, XSS is aber garnich gut!"+i.toString()+"!"));
if (i==1500) {
frame.setDefaultCloseOpearion(JFrame.EXIT_ON_CLOSE);
}
frame.setVisible(true);
}Da hilft auch kein Popup-blocker
tobse.. applets laufen in der sandbox und der swing jframe geht aufm server auf..
wenn du da was böses machen wollen würdest, haste dann nen dolles ei gelegt und wenns platzt haste die kacke beim hoster am dampfen und deine seite von dir selber abgeschossen..
frei nachm motto: haha du hacker willst mir schaden zufügen? das geht nich! aber dir zu ehren mach ich mich selber kaputt!
"I've hacked 127.0.0.1" 
Aber seit wann werden Applets aufm Server ausgeführt?
Ich finde das ne nette Sache, wenn es erst nach dem Schließen der Seite zum Suicide kommt, das ist so unerwartet.
applets laufen nich aufm server sondern swing...
applets laufenb lediglich in einer sandbox und haben keinen zugriff auf system-dateien!
man kann zwar nen uploader mit nem applet bauen, aber der kann auch keine files automatisch aussuchen sondern nur durch benutzer-interaktion
ich hab auch mal gedacht ich könnte ne jOptionPane nutzen...
hatte auch alles prima funktioniert, solange ich den kram auf meinem pc aufgerufen hab..
dann hab ich des am pc meiner frau getestet und da poppte die optionpane bei mir aufm screen auf...