JavaScript scritto solo con parentesi?

31

Una volta ho visto il codice JavaScript che è stato scritto solo come parentesi multiple () . Qualcuno ricorda questo tipo di codice? C'era anche un convertitore online per convertire JS "normale" in questo stile di codice. Voglio mostrarlo mentre una presentazione come esempio di XSS allo stato dell'arte. O quali sono altri esempi XSS davvero sorprendenti?

    
posta powtac 20.10.2011 - 00:13
fonte

2 risposte

25

Trovato

Convertitore per convertire JS normale in parentesi solo JS:

risposta data 20.10.2011 - 00:51
fonte
7

Questa è una scoperta interessante!

A coloro che stanno solo ora scoprendo ...

Ora è ovvio come puoi creare stringhe con le parentesi e potresti fare cose come window[gibberish](gibberish) per valutare qualcosa. Ciò che potrebbe non essere chiaro è che puoi farlo senza la parola window . Tutto ciò di cui hai bisogno è un nome di variabile (come $ o _ )

Esegui questo codice di preparazione

$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_]

Avrai una funzione.

Esegui questa operazione per chiamare alert(0) su tale funzione

$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\"+$.__$+$.$$_+$._$_+$.__+"("+$.___+")"+"\"")())();

Origine

    
risposta data 14.12.2011 - 23:55
fonte

Leggi altre domande sui tag