anonim_4396
| anonim_4396 a întrebat:

De ce nu putem pune semnele mai mare si mai mic pe site? Mai precis in intrebari si raspunsuri, ce e de matematica sau programare pur si simplu intrerupe intrebarea/raspunsul de la prima aparitie a acestor semne.

7 răspunsuri:
| CalatorCritic a răspuns:

Pentru ca pe TPU sunt interzise temele.
Mergi pe site-urile axate pe asta.

| RAY a răspuns:

Pentru ca nu au chestile astea https://imgur.com/a/0YS6MCo

| Fatamuntilor a răspuns:

< >
sa vedem

supadeceapa
| supadeceapa a răspuns:

< >
Nu stiu de ce, dar de asta nu pun eu inimioare sad imi sterge raspunsul de acolo.
smug in schimb asta merge

| anonymus4106 a răspuns:

Apasa Ctr+U si o sa vezi sursa HTML a paginii curente. Daca te uiti, apar de multe ori semnele "mai mic" si "mai mare". Acestea determina niste entitati numite tag-uri. Ele specifica anumite elemente din pagina, cum ar fi chenarul in care se afla acest raspuns, sau logo-ul TPU din coltul din stanga-sus al paginii. Ei bine, o combinatie de astfel de semne poate da peste cap pagina, adica ai putea pune ce elemente vrei tu pe site. In unele cazuri ai putea chiar sa injectezi javascript, adica ceea ce se ocupa de cookie-urile tale.

Cel mai periculos dintre atacuri este XSS: https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

alert("Daca ti se afiseaza asta pe ecran, atunci pagina e vulnerabila")
Hello

anonim_4396
| anonim_4396 explică (pentru anonymus4106):

Nu da peste cap nici-o pagina deoarece pot fi pur si simplu inlocuite cu metacaractere numite si entitati. https://www.w3schools.com/html/html_entities.asp
Exista mii de site-uri care au editor de cod HTML si nu-s date peste cap. Chiar eu am facut acum cateva zile editor cu Electron... Pur si simplu le inlocuieste cu ce-am dat in linkul de mai sus. < >

| anonymus4106 a răspuns (pentru anonim_4396):

Nu m-ma gandit la asta. Nu stiu de ce TPU nu inlocuieste < > cu < >. Totusi, asta nu inseamna ca ce am spus mai sus este fals. Site-urile mari nu vor fi vulnerabile la un atac atat de simplu precum HTML injection, asa ca nu o sa gasesti asta acolo. Daca vrei sa inerci atacul, o poti face aici: http://google-gruyere.appspot.com/

In privinta acestui site, m-am uitat putin pe sursa javascript de aici: https://assetsro.tpu.ro/......70c_min.js
Cand apesi pe butonul "Raspunde" este apelata functia showPreAnswer(). Dupa ce este extras raspunsul si este validat, este apelata functia strip_tags(). Ei bine, functia aia este cea care sterge tagurile HTML.

Mai mult de atat nu am ce sa spun.