This work is licensed under a Creative Commons License.
Powered by Google
Prendete un ragazzino, fategli leggere le prime pagine di una guida di base su Javascript, fategli conoscere i WeBLog di Splinder, nota piattaforma per blog italiana, ed appena ne troverà uno che non gli piace, il ragazzino, si trasformerà in un temibile Hackero di Splinder.
I web log di splinder hanno infatti la caratteristica d'interpretare il codice (X)HTML (e quindi anche eventuali script) inserito nei commenti dei blog.
Poco male, se l'hachero in questione, comunemente definito lamer, inserisce un semplice alert, a parte il fastidio, basterà cancellare il commento incriminato. Ma se l'hachero è arrivato a pagina 20 di quella guida di base su Javascript potrebbe inserire una piccola funzione in Javascript che restituisca un alert sino a che una condizione non sia verificata. Se poi quella condizione non può essere verificata, ecco che i commenti risultano completamente illeggibili.
Nel caso appena descritto potrebbe non essere facile eliminare il commento incriminato. Questo perché lo script non consente di far caricare la pagina (e quindi neanche i pulsanti per cancellare i post) se non disabilitando l'esecuzione degli script del nostro browser, ma, disabilitando l'esecuzione degli script, i pulsanti di cui sopra (quelli per cancellare i post) non funzionerebbero.
Ecco allora come procedere, per comodità (mia nello scrivere e vostra nell'eseguire) nella procedura di seguito descritta, in alternativa a Internet Explorer, si fa uso del browser Firefox di casa Mozilla scaricabile in versione italiana sul sito Mozillaitalia.org.
Per prima cosa disabilitate l'esecuzione degli script; dal menu "Strumenti" cliccate su "Opzioni" andate in "Proprietà web" e deselezionate la voce "Abilita Javascript".
Ora che avete disabilitato l'esecuzione degli script, non riuscirete più ad aprire i commenti del blog, dato che sono popup in javascript, quindi dovrete risalire all'url.
Con Firefox selezionate il link dei commenti, cliccate sulla selezione con il tasto destro del mouse e cliccate sulla voce "Mostra sorgente selezione": vi si aprirà una finestra con una stringa tipo questa:
<a href="#" onclick="mw=openWin('http://www.splinder.it/myblog/view_comments/30605/1834474',mw); return false;">commenti (1)</a>
Copiate l'url (in questo caso http://www.splinder.it/myblog/view_comments/30605/1834474), copiatelo sulla barra degli indirizzi e schiacciate "invio".
Bene, ora siamo nella pagina dei nostri commenti con l'esecuzione degli script disabilitata.
Ora che siamo nella pagina dei commenti dobbiamo visualizzare il codice HTML della pagina, quindi cliccate con il tasto destro e, dal menu di contesto che apparirà, cliccate sulla voce "Visualizza sorgente pagina".
Nel codice, tra le altre cose, troverete questo:
<form name="delComment" action="http://www.splinder.it/myblog/delete_comment/30605/1834474" method="POST">
<input type="hidden" name="edit[cid]">
<input type="hidden" name="edit[confirm]" value="1">
</form>
<script language="Javascript">
function delComment( id ) {
if( confirm( 'Vuoi cancellare il commento ?' ) ) {
document.delComment.elements[0].value = id;
document.delComment.submit();
}
}
</script>
Mentre ognuna delle immagini per cancellare i commenti è contenuta in uno strano <a href=""><a/>
<a href="javascript:this.delComment(3564173);"><img src="/misc/img/cancella.jpg" border="0" /></a>
Dove i numeri tra parentesi cambiano in ogni commento.
Mi è venuta un'idea!
Sempre dalla finestra di Firefox che vi permette di visualizzare il codice, dal menu "Modifica" cliccate su "Trova", digitate "cancella.jpg" (senza virgolette) e cliccate su "Trova".
Poco dopo la parola che vi avrà trovato inizia il commento vero e proprio, e, se nel testo del commento è presente qualcosa del tipo <script>alert (La parola che vi appare quando aprite i commenti);</script>, allora quello è il commento da cancellare! Se nel testo non c'è niente di simile allora rieseguite l'operazione sino a che non troverete il commento incriminato.
Una volta trovato il commento "risalite" il codice sino ad arrivare al primo:
<a href="javascript:this.delComment(3564173);"><img src="/misc/img/cancella.jpg" border="0" /></a>
Copiate la parte in grassetto (in questo caso delComment(3564173)).
Ora chiudete pure la finestra con il codice sorgente, ritornate ai commenti ed inserite come commento:
<script type="text/javascript">
delComment(3564173);
</script>
Fine! Chiudete i commenti, riabilitate l'esecuzione degli script nel vostro Firefox e riaprite i commenti "attaccati" dall'hackero di splinder; a questo punto dovrebbe aprirsi la finestra che vi chiede di confermare la cancellazione del commento, confermate ed il commento sarà cancellato... se dopo aver confermato vi richiede di cancellare il commento, questa volta cliccate su Annulla e dopodiché cancellate il commento che avete appena inserito.