web-dev-qa-db-ja.com

ブラケットのみで書かれたJavaScript?

かつて、複数のブラケットとしてのみ記述されたJavaScriptコードを見たことがあります()。誰かがこの種のコードを覚えていますか? 「通常の」JSをこのスタイルのコードに変換するオンラインコンバーターもありました。最先端のXSSの例として プレゼンテーション を表示します。または、他に本当に驚くべきXSSの例は何ですか?

32
powtac
26
powtac

これは興味深い発見です!

たった今見つけたばかりの人へ...

中括弧から文字列を作成する方法が明らかになり、window[gibberish](gibberish)などを実行して何かを評価できます。明確ではないかもしれませんが、Wordなしでこれを行うことができますwindow。必要なのは変数名(_$_または___など)だけです。

この準備コードを実行する

_$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_]
_

あなたには機能があります。

これを実行して、その関数でalert(0)を呼び出します

_$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+"("+$.___+")"+"\"")())();
_

ソース

7
Bryan Field