Инъекция скрипта (Файрфокс) - JavaScript, Ajax

vinniepooh · 06.08.2016, 17:25

Привет.
Есть расширение для ФФ, меняющее агента - Random agent spoofer.
Там утверждается про инъекцию скрипта, есть какой-то inject.js. А в коде загружаемой страницы тем временем ничего не обнаруживается. Можно посмотреть траффик, конечно, но что это может быть?

Alex11223 · 06.08.2016, 17:36

Трафик чего?
Зачем расширению грузить откуда-то скрипт каждый раз?

И исходники доступны же https://github.com/dillbyrne/random-agent-spoofer/

vinniepooh · 06.08.2016, 17:38

Трафик общения с сервером. Если вы в теме, то логично, что у него есть папка данных data.

vinniepooh · 06.08.2016, 18:27

Да, но там утверждается про инъекцию. Смотрю трафик, никакого скрипта в коде. Inject.js отвечает за это всё. А где он в трафике? Он добавляется? Видимо, нет.

vinniepooh · 06.08.2016, 18:30

Он должен подменять данные типа зоны и т.п. Часовой пояс. Однако, непонятно, как это он делает. Ведь в коде загруженной страницы ничего такого нет.

Fenex · 07.08.2016, 02:50

Непонятно что вас удивляет. Простейший пример, показывающий внедрение (инжектирование) JS-кода на страницу и делающий невозможным обратиться к переменным:

Код:

var main = function() {
    setInterval(function() {
         console.log("i'm running!");
    }, 1000);
}
var script = document.createElement('script');
script.textContent = '('+main+')()';
document.head.appendChild(script);
document.head.removeChild(script);
script = main = void 0;

vinniepooh · 07.08.2016, 13:23

Спасибо.
Если я правильно понял, это обволакивание содержимого кодом, запускающим бесконечный вывод в консоль.
Но тут-то проблема в том, что инжектированного скрипта не видно в коде. Когда это происходит, собственно, перед отправкой запроса к серверу или после?

p51x · 07.08.2016, 13:37

Может вы все-таки прочитаете как работаю расширения в браузерах? Кто и когда их вызывает?..

Alex11223 · 07.08.2016, 13:39

Нету там никакого Inject.js, только intercept.js

Зачем ему быть в коде страницы? Это ж расширение для браузера.

И страница приходит в ответ на запрос. Соответственно в запросе юзер-агент уже есть.

vinniepooh · 07.08.2016, 13:47

Читаю, изучаю... Инжект есть, в той версии, которая у меня. Если поискать, то она есть, только там 404. Они обновили, видимо.

Подменить код, наверное, чтобы... как делают трояны всякие. Ведь вроде так.
А таймзоны в запросе вроде бы нет. Она доступна только в Яваскрипте, так? То есть, после загрузки страницы. Ну ещё куки есть... там какое-то время, но это не то.

06.08.2016, 17:25	#1
vinniepooh Форумчанин Регистрация: 11.04.2010 Сообщений: 440	Инъекция скрипта (Файрфокс) Привет. Есть расширение для ФФ, меняющее агента - Random agent spoofer. Там утверждается про инъекцию скрипта, есть какой-то inject.js. А в коде загружаемой страницы тем временем ничего не обнаруживается. Можно посмотреть траффик, конечно, но что это может быть?

06.08.2016, 17:36	#2
Alex11223 Старожил Регистрация: 12.01.2011 Сообщений: 19,500	Трафик чего? Зачем расширению грузить откуда-то скрипт каждый раз? И исходники доступны же https://github.com/dillbyrne/random-agent-spoofer/ Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223 ЛС отключены Аларом.

07.08.2016, 02:50	#6
Fenex Форумчанин Регистрация: 15.02.2012 Сообщений: 821	Непонятно что вас удивляет. Простейший пример, показывающий внедрение (инжектирование) JS-кода на страницу и делающий невозможным обратиться к переменным: Код: `var main = function() { setInterval(function() { console.log("i'm running!"); }, 1000); } var script = document.createElement('script'); script.textContent = '('+main+')()'; document.head.appendChild(script); document.head.removeChild(script); script = main = void 0;` ^-.-^ My GitHub

07.08.2016, 13:39	#9
Alex11223 Старожил Регистрация: 12.01.2011 Сообщений: 19,500	Нету там никакого Inject.js, только intercept.js Зачем ему быть в коде страницы? Это ж расширение для браузера. И страница приходит в ответ на запрос. Соответственно в запросе юзер-агент уже есть. Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223 ЛС отключены Аларом.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Инъекция кода.	Denutrror	Общие вопросы Delphi	5	21.11.2012 16:20
Инъекция своего кода в чужое приложение.	Denutrror	Общие вопросы Delphi	2	05.11.2012 15:03
доработка скрипта	bev94	PHP	6	07.03.2012 20:21
SQL-инъекция	Dimarik	PHP	12	21.07.2010 18:49
Настройка скрипта	Yooho	JavaScript, Ajax	2	10.06.2010 12:24

06.08.2016, 17:38	#3
vinniepooh Форумчанин Регистрация: 11.04.2010 Сообщений: 440	Трафик общения с сервером. Если вы в теме, то логично, что у него есть папка данных data.

06.08.2016, 18:27	#4
vinniepooh Форумчанин Регистрация: 11.04.2010 Сообщений: 440	Да, но там утверждается про инъекцию. Смотрю трафик, никакого скрипта в коде. Inject.js отвечает за это всё. А где он в трафике? Он добавляется? Видимо, нет.

06.08.2016, 18:30	#5
vinniepooh Форумчанин Регистрация: 11.04.2010 Сообщений: 440	Он должен подменять данные типа зоны и т.п. Часовой пояс. Однако, непонятно, как это он делает. Ведь в коде загруженной страницы ничего такого нет.

07.08.2016, 13:23	#7
vinniepooh Форумчанин Регистрация: 11.04.2010 Сообщений: 440	Спасибо. Если я правильно понял, это обволакивание содержимого кодом, запускающим бесконечный вывод в консоль. Но тут-то проблема в том, что инжектированного скрипта не видно в коде. Когда это происходит, собственно, перед отправкой запроса к серверу или после?

07.08.2016, 13:37	#8
p51x Старожил Регистрация: 15.02.2010 Сообщений: 15,707	Может вы все-таки прочитаете как работаю расширения в браузерах? Кто и когда их вызывает?..

07.08.2016, 13:47	#10
vinniepooh Форумчанин Регистрация: 11.04.2010 Сообщений: 440	Читаю, изучаю... Инжект есть, в той версии, которая у меня. Если поискать, то она есть, только там 404. Они обновили, видимо. Подменить код, наверное, чтобы... как делают трояны всякие. Ведь вроде так. А таймзоны в запросе вроде бы нет. Она доступна только в Яваскрипте, так? То есть, после загрузки страницы. Ну ещё куки есть... там какое-то время, но это не то.