DN
Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью
может это была и глупость но результат мне понравился
Size: a a a
2020 January 28
DN
если логи в консоль не выводить, я б может этот скрипт вообще не нашел
НГ
может это была и глупость но результат мне понравился
так я не про разрабов)
DN
а моя глупость в чем?
НГ
в том что хотя бы занимаетесь не тем, чем следует
DN
всего лишь пытаюсь разобраться в механизме того что собираюсь реализовать
НГ
по собранному проекту?
DN
по собранному проекту?
ага, надо понять как там одна штука работает
DN
исходников то нет
AI
всего лишь пытаюсь разобраться в механизме того что собираюсь реализовать
Ну если ты хочешь добиться такого же поведения, то вот тебе пример:
const code = 'console.log("hello")';
eval(code);
Выполни это в консоли - увидишь что событие пришло из VM
Поэтому чтобы найти источник этого кода, проштудируй все скрипты, которые грузятся на странице на наличие eval'а, и скорее всего найдешь источник
const code = 'console.log("hello")';
eval(code);
Выполни это в консоли - увидишь что событие пришло из VM
Поэтому чтобы найти источник этого кода, проштудируй все скрипты, которые грузятся на странице на наличие eval'а, и скорее всего найдешь источник
НГ
ага, надо понять как там одна штука работает
а что за штука такая, что не придумать самому как реализовать?
DN
Ну если ты хочешь добиться такого же поведения, то вот тебе пример:
const code = 'console.log("hello")';
eval(code);
Выполни это в консоли - увидишь что событие пришло из VM
Поэтому чтобы найти источник этого кода, проштудируй все скрипты, которые грузятся на странице на наличие eval'а, и скорее всего найдешь источник
const code = 'console.log("hello")';
eval(code);
Выполни это в консоли - увидишь что событие пришло из VM
Поэтому чтобы найти источник этого кода, проштудируй все скрипты, которые грузятся на странице на наличие eval'а, и скорее всего найдешь источник
а можно в eval передать путь к файлу или урл?
AI
а можно в eval передать путь к файлу или урл?
Нет, eval умеет только выполнять код, который ты ему передаешь
Если ты хочешь загрузить код извне и выполнить его, для этого тебе придется сделать cначала fetch, а потом eval
Если ты хочешь загрузить код извне и выполнить его, для этого тебе придется сделать cначала fetch, а потом eval
AI
В этом случае ты можешь столкнуться с CORS, если твой код находится на другом домене по сравнению с тем, где он подгружается
Но это можно обойти, если настроить твой сервер и добавить в него заголовки Access-Control-Allow-Origin и т.п.
Но это можно обойти, если настроить твой сервер и добавить в него заголовки Access-Control-Allow-Origin и т.п.
AI
И в теории можно попробовать замести следы того, что ты загрузил и исполнил remote code, убрав например script tag, который всё это делает
НГ
не о том думаете)
DN
а что за штука такая, что не придумать самому как реализовать?
там сайт показывает подсказку чтобы разрешить доступ к камере и микрофону, не могу понять как ему быстро удается убедиться что разрешений не выдали и можно показывать баннер
DN
и наоборот что не нужно показывать если доступ есть
НГ
там сайт показывает подсказку чтобы разрешить доступ к камере и микрофону, не могу понять как ему быстро удается убедиться что разрешений не выдали и можно показывать баннер
ну так он пытается подключиться
НГ
всё оч стандартно)