Ne nous o(b)fusquons pas !
Le
Pascal Poncet
Bonjour,
Je fais référence à cet anglicisme, l'obfuscation, qui est l'art de
déguiser un script pour en protéger les droits, dit-on
Je ne crois pas que ce truc est un grand avenir, mais d'autres doivent
en être suffisamment convaincu pour avoir commis ceci :
http://cjoint.com/?2cgxVgwsVNK (=> voir le code source)
A moins que ce ne soit qu'un jeu débile de professeur Tournesol !
Enfin, si vous ne connaissiez pas l'encodage 'noalnum', voici quelques
liens (in)utiles :
- http://adamcecc.blogspot.com/2011/01/javascript.html
- http://sla.ckers.org/forum/read.php?24,33349,33405
- http://discogscounter.getfreehosting.co.uk/js-noalnum_com.php
--
Cordialement,
Pascal
Je fais référence à cet anglicisme, l'obfuscation, qui est l'art de
déguiser un script pour en protéger les droits, dit-on
Je ne crois pas que ce truc est un grand avenir, mais d'autres doivent
en être suffisamment convaincu pour avoir commis ceci :
http://cjoint.com/?2cgxVgwsVNK (=> voir le code source)
A moins que ce ne soit qu'un jeu débile de professeur Tournesol !
Enfin, si vous ne connaissiez pas l'encodage 'noalnum', voici quelques
liens (in)utiles :
- http://adamcecc.blogspot.com/2011/01/javascript.html
- http://sla.ckers.org/forum/read.php?24,33349,33405
- http://discogscounter.getfreehosting.co.uk/js-noalnum_com.php
--
Cordialement,
Pascal
C'est trop fort. Je crois que tu es passé à côté du potentiel de la
méthode. Le principe est véritablement de court-circuiter les système de
« sécurité » qui pourraient tenter de limiter le Javascript que
l'utilisateur d'un CMS pourrait être tenté d'insérer (pour peut que le
CMS autorise et traite le Javascript soumis par l'utilisateur).
Le professeur Tournesol a envoyé Tintin sur la Lune :p
Merci pour ces liens.
Oui, tu as raison, le seul intérêt serait de convaincre d'utiliser des
listes blanches dans la sécurité des applications web.
On ne peut pas lutter contre l'inventivité des hackers !
--
Cordialement,
Pascal
noalnum.html, une page blanche
Que faut il comprendre ?
Il ne faut pas s'arrêter aux apparences.
As-tu lu le code source, les liens que Pascal a donné ? C'est très
explicite.
oui
mais que fait ce code ?
"Page tested with Firefox only"
Effectivement, avec IE8 alert("coucou") est traduit en
(window["alert"])("coucou")
alors qu'avec firefox, ça donne
([][(![]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]][([][(![]+[])[+[]]+(![]+[]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]]()[(![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]])(([][(![]+[])[+[]]+(![]+[]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+[]])