Открыть список
Как стать автором
Обновить

Комментарии 12

Прикрылась лавочка)
Теперь консоль выдает:

Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: «default-src 'none'».
Ну это политика конкретного сайта работает.
Поиск фрагмента кода этого декодера разделителей привёл к статье 2019 года на Хабре.

Там фиг поймёшь, какого года статья.
Из профиля автора:


Зарегистрирован 24 мая 2013 г.

Активность 02.10.2015, 16:23

У статьи дата публикации 3 июля 2019 в 15:47

Все просто, статью написал sneakquie с 2013 по 2015, но он написал ее в песочницу. Спустя 4 года ее одобрил ilyaplot. Соответсвенно, статья написана не позже 2015 года, а опубликована в 2019.

Это понятно, PHP можно даже вставить в загружаемую картинки и он выполнится если как-то сделать ей include или required или вызвать напрямую если есть дыра с расширением файла по типу /my.gif.php. Но то на что не отвечает статья как попал на сервер licens.php.

У исследователей есть ряд липовых сайтов с дырами.

Не совсем понятно зачем использовать пробелы и табы, когда есть U+200C и U+200D.

Если редактор поддерживает юникод (в 2021 году!), то zero-width символы заметить будет сложнее, чем кучу пробелов и переходов строк.

По размеру файла будет ещё заметнее, а hex view без труда разрушит всю магию.

До сих пор не все пишут код в utf-8 кодировке, а зловред должен быть универсален, возможно это одна из причин.

Ну я бы при просмотре фс первым делом бы удивился что лицензия с расширением php. А так как там текст, можно и в txt переименовать

с «пустыми символами» забавно, конечно, но довольно бессмысленно ))

а код в license.php даже мой тупой сканер обнаружил бы и поднял тревогу
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
vdsina.ru
Численность
11–30 человек
Дата регистрации
Представитель
Mikhail

Блог на Хабре