HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Обход запрета показа исходного HTML кода, обход социальных блокировщиков и других мер противодействия сбору информации о сайте
Можно ли надёжно защитить HTML код веб-страницы
Исходный код веб-страницы невозможно защитить от просмотра. Это факт. Но можно в некоторой степени усложнить задачу анализа кода. К совершенно пустым, неэффективным способам можно отнести блокировку правой кнопки мыши. К более эффективным средствам можно отнести обфускацию кода. Особенно если код не присутствует в исходном тексте страницы, а подгружается из разных файлов с помощью JavaScript и если на разных этапах (сам JavaScript и HTML) также обфусцированны. В этом случае всё становится намного труднее. Но такие случае довольно редки — чаще встречаются на веб-сайтах очень крупных компаний. Мы же рассмотрим более простые варианты.
Как просмотреть исходный HTML код веб страницы, если заблокирована правая кнопка мыши и сочетание клавиш CTRL+u
Если правая кнопка мыши не работает, то просто нажмите CTRL+u. Мне попался сайт, в котором CTRL+u также отказалась работать:
CTRL+u можно отключить с помощью JavaScript и именно эта техника используется на том сайте. То есть первый вариант очевиден — с выключенным JavaScript исходный код не будет «заблокирован».
Другой вариант — это в меню браузера найти опцию «Показать исходный код». В Firefox эта опция есть, но лично у меня всегда уходит много времени, чтобы её найти ))) В Chrome я эту опцию вообще не могу найти в меню браузера, поэтому запомните строку
view-source:
Если эту строку добавить перед любым адресом сайта и всё это вставить во вкладку веб-браузера, то будет открыт исходный код данной страницы.
Например, я хочу посмотреть HTML страницы https://suip.biz/ru/?act=view-source, тогда я вставляю строку view-source:https://suip.biz/ru/?act=view-source во вкладку веб-браузера и получаю в ней исходный код.
Кстати, если вам трудно запомнить view-source, то вот здесь соответствующий сервис: https://suip.biz/ru/?act=view-source (только не надо смеяться над его «сложностью» — всего в жизни не запомнишь, и иногда реально проще открыть такую страницу и с помощью неё получить нужную для просмотра исходного кода строку).
Кстати по поводу отключения JavaScript — необязательно лазить в «глубинные» настройки браузера и искать где эта опция. Можно даже не отключать JavaScript, а приостановить выполнение скриптов для конкретной страницы.
Для этого нажмите F12, затем в инструментах разработчика перейдите во вкладку Sources и нажмите там F8:
Теперь на странице сайта будет работать сочетание клавиш CTRL+u, как будто бы его никогда не отключали.
Обход социальных блокировщиков
Социальный блокировщик выглядит примерно так:
Суть в следующем, чтобы просмотреть содержимое, нужно «лайкнуть» эту статью в социальной сети.
«Под капотом» там всё (обычно) так: «скрываемый» текст уже присутствует в HTML странице, но спрятан с помощью свойства стиля style=»display: none;». Поэтому достаточно:
- открыть HTML страницы, защищённой социальным блокировщиком
- найти там все вхождения style=»display: none;» — обычно их не очень много.
Пример «взлома» социального блокировщика:
Но каждый раз лазить в исходный код не очень удобно и я… сделал онлайн сервис, который сам извлекает для вас данные, скрываемые социальными блокировщиками, его адрес: https://suip.biz/ru/?act=social-locker-cracker
Там я реализовал обход четырёх социальных блокировщиков и добавил «эвристический» анализ — он включается если никакой из этих 4 х блокировщиков не подошёл, то тогда просто выводится содержимое всех блоков с style=»display: none;».
Кстати, если вам попались страницы, которые этот сервис не может обойти — просто напишите в комментариях ссылку на проблемную страницу — я добавлю соответствующий «обработчик».
Тот сайт, который я показываю на скриншотах, как будто бы распространяет пиратское ПО. Я посмотрел ссылки с помощью обходчика социальных блокировщиков — оказалось, что все скрытые ссылки абсолютно беспонтовые: ведут на демо версии программ или вообще на официальный сайт. В некоторых статьях ссылок вообще нет. Такой «маркетинг» меня заинтересовал и я решил поискать другие сайты этого же автора.
Поиск сетки фальшивых пиратских сайтов
Этот сайт за CloudFlare — Ha ha, classic!
- Cloudflare, Inc. — это сегодняшние IP адреса
- GoDaddy.com, LLC — аукцион, парковщик доменов и тому подобное
- Contabo GmbH — вполне возможно реальный хостинг, где размещён этот сайт
Итак, вероятно, что IP этого сайта 173.249.15.230. На securitytrails на настоящее время по этому IP информации о связанных с ним сайтов нет.
Поэтому идём на сервис «Список сайтов на одной IP», в качестве исходных данных вводим 173.249.15.230 и получаем там:
- haxsofts.com
- crackways.com
- crackmafia.org
Все сайты схожей тематики, везде есть социальный блокировщик, везде вместо вареза ссылки на демо версии, ссылки на официальные сайты, либо просто ничего нет под закрытым контентом.
Верификация IP сайта с помощью cURL
Для верификации IP обычно я использую следующую команду:
curl -v 173.249.15.230 -H 'Host: АДРЕС_САЙТА'
curl -v 173.249.15.230 -H 'Host: macwinsofts.com'
Или так, если нужно проверить сайт на HTTPS протоколе:
curl -v https://173.249.15.230 -H 'Host: macwinsofts.com'
Но сервер 173.249.15.230 настроен так, что абсолютно любой хост, хоть даже если туда написать «dfkgjdfgdfgfd» он перенаправляет на адрес с HTTPS, то есть на «https://dfkgjdfgdfgfd». А запросы по HTTPS сам сервер не принимает вовсе — там веб-сервер не настроен на их обработку и 443 порт даже не октрыт.
В принципе, доказать, что данный сервер настроен на обработку хоста macwinsofts.com можно косвенно, например, данный запрос практически мгновенно вызовет ошибку 503:
curl -v 173.249.15.230/wp-content/uploads/2018/10/ReiBoot-Crack-Mw.png -H 'Host: fake.com'
А вот данный запрос хотя в конечном счёте также вызовет ошибку 503, но заставит сервер надолго «задуматься»:
curl -v 173.249.15.230/wp-content/uploads/2018/10/ReiBoot-Crack-Mw.png -H 'Host: macwinsofts.com'
Видимо, там из-за особенностей настройки происходят бесконечный редиректы и в конце концов соединение сбрасывается по таймауту.
Это способ позволяет в том числе брутфорсить файлы и папки:
curl -v 173.249.15.230/.htaccess -H 'Host: macwinsofts.com'
И совсем интересный результат вызывает вот такой запрос:
curl -v 173.249.15.230/wp-content/uploads/2018/10/ReiBoot-Crack-Mw.png -H 'Host: ya.com'
Заключение
В чём смысл этих сайтов? На некоторых из них имеются для скачивания .exe файлы — возможно вирусы или какая-то сомнительная монетизация. Хотя я проверил по virustotal — вроде бы, файл не вредоносный. Те сайты, у которых нет исполнимых файлов для скачивания, видимо, дожидаются роста посещаемости, чтобы затем начать распространять этот исполнимый файл.
Возможно владелец ожидает роста посещаемости для включения настоящей монетизации или распространения вирусов.
Связанные статьи:
- Утилиты для сбора информации и исследования сети в Windows и Linux (56.3%)
- Исследование на основе открытых источников с OSRFramework (поиск по почте, нику, домену) (55.5%)
- Social Mapper: инструмент анализа социальных сетей, который ищет связь между профилями через распознавание лиц (55.5%)
- Построение интерактивных карт камер, принтеров, твитов и фотографий (55.5%)
- Как сохранить всю информацию из профилей Facebook (55.5%)
- Инструкция по использованию Router Scan by Stas’M. Часть первая: Опции и анонимность сканирования (RANDOM — 50%)
факультете информационной безопасности от GeekBrains? Комплексная годовая программа практического обучения с охватом всех основных тем, а также с дополнительными курсами в подарок. По итогам обучения выдаётся свидетельство установленного образца и сертификат. По этой ссылке специальная скидка на любые факультеты и курсы!
Как посмотреть скрытую часть исходного кода страницы html? Есть ли программы для этого или ещё что-то ?
Сейчас почти на всех сайтах используется JavaScript.
При помощи скрипта можно подгружать и генерировать различный контент, который в «оригинальном» исходном коде (его можно увидеть в блокноте после сохранения страницы, или по Ctrl + U в браузере) отсутствует.
Можно преобразовать страницу полностью, поменять отдельные фрагменты при загрузке страницы, в зависимости от браузера, или от любого действия пользователя.
Технология, которая позволяет подгружать «внешний» контент с сервера, называется AJAX.
Именно поэтому существуют средства для разработчика. Например, FireBug для Firefox и встроенные инструменты в Chrome, Opera (Ctrl + Shift + i) и Internet Explorer (F12).
Но никакой «скрытой» части нет. Что в браузере — то и на странице. В средствах разработчика вы видите именно то, что на странице сейчас (результат работы скриптов, если они использовались) . То, что вы видите на странице и в инструментах для разработки, может отличаться от исходного кода.
При сохранении страницы на компьютер могут не загрузиться некоторые подключенные файлы (картинки, а также скрипты и стили, которые вызываются другими скриптами) . И точно не сохраняются данные, которые подгружаются в результате действий пользователя.
Остальные ответы
да есть правая кнопка мышки смотреть иходный код страницы или в хроме кнопка ф12 но все равно вы увидите то к чему имеете доступ
да нет же скрытой части, все открыто. нет смысла скрывать HTML, он предназначен для того, чтобы ваш браузер его читал и понимал.
Ctrl+U — и смотрите на здоровье.
ZМыслитель (5359) 10 лет назад
Если сохранить исходный код в блокноте получается страница которая сильно отличается от оригинала , а это значит что вы скопировали не весь код , а что-то осталось за бортом иначе получился бы оригинал .
Олег Мифтахов Искусственный Интеллект (180345) вы сейчас шутите или серьезно? ну, сохраните веб-страницу целиком средствами браузера, потом посмотрите содержимое ))
Александр ХарламовУченик (223) 4 года назад
на сайте виндовс, есть выбор — винда 32, и 64, или какие там, а открыв исходный код, версий винды становится больше там и версия по времени, и по размеру и тд.
Как вы выразились скрытым может быть не html. Вашему взору может не доступен php, но его вы не как не увидите, поскольку он располагается на сервере и обрабатывается им же.
HTML не может быть скрыт.
Чтобы просмотреть сайт «целиком» в сохранённом виде, к HTML-документу еще необходимо приложить CSS-файлы (стили) и JS-файлы (скрипты) . Но это всё опционально. Все эти файлы имеются в открытом доступе. Просто надо понимать, как их «привязывать» к хтмл-страничке.
На фото располагается 3 файла стилей и 2 файла скриптов.
Их необходимо сохранить вместе с HTML-кодом (файл с расширением .html) в одну директорию. И вместо исходных путей оставить только само название файла. Например href=»style.css»
Как выбрать все видимые или скрытые элементы на странице с помощью jQuery
Вы можете просто использовать jQuery-селектор :visible или :hidden для выбора всех видимых или скрытых элементов на HTML-странице. jQuery-селектор :visible считается видимым элементом, если он занимает место в документе. Это означает, что элементы с visibility: hidden; или opacity: 0; считаются видимыми, поскольку они по-прежнему сохраняют пространство в макете.
Давайте посмотрим следующий пример, чтобы понять, как это работает:
jQuery Get All Visible and Hidden Elements .box < padding: 50px; margin: 20px 0; display: inline-block; font: bold 22px sans-serif; background: #f4f4f4; >.hidden Box A Box B Box C Box D Box E
Читайте также
Похожие примеры:
- Как проверить видимость элемента с помощью jQuery
- Как проверить, скрыт ли элемент с помощью jQuery
- Как проверить, существует ли элемент в jQuery
Как найти скрытый код или текст на странице?
К сожалению, мы не знаем подобных сервисов. Проверку можно осуществлять вручную следующими способами:
- Смотрим исходный код и сверяем с содержанием страницы. Таким образом мы сможем найти, к примеру, скрытый текст, который сливается по цвету с фоном, либо же текст маленького/нулевого размера шрифта. Также полезно будет сверить страницу с ее сохраненной копией в ПС.
- Смотрим, как выглядит страница с отключенными стилями CSS и JavaScript (к примеру, используя надстройку браузера Web Developer). Так мы найдем скрытые с помощью CSS текстовые блоки, изображения, таблицы. Чаще всего для этого используются свойства “display: none”, “opacity: 0”, “visibility: hidden”, “clip-path: none”, поиск данных элементов можно осуществить вручную в исходном коде. Советуем попробовать отключать стили по несколько раз с какими-то промежутками, так как скрытые элементы могут загружаться не сразу, а через какое-то время.
- Для поиска скрытых ссылок можно использовать Link Grabber. Данное расширение извлекает все ссылки, содержащиеся на странице, таким образом вы можете обнаружить, к примеру, ссылки, спрятанные в символах или пунктуационных знаках.
Хотите получить ответ на свой вопрос? Задайте его нам через телеграм-бота!↓
Подписаться на рассылку
- Выводы по факторам ранжирования ПС Яндекс Хотелось бы услышать ваше мнение по поводу недавнего слива Яндекса и основные моменты, которые вы подчеркнули для себя. Ответ Многие оптимизаторы разбирались с кодом и.
- Влияние социальных сигналов на SEO продвижение сайта Что такое социальные сигналы и какие они есть? Работают ли они сейчас для SEO? Какие соц. сигналы важны для Google, а какие для Яндекса? Ответ.
- Как повлияет на продвижение прогон сайта по каталогам, форумам и т.д.? Поделитесь, пожалуйста, вашим мнением касательно прогона по каталогам. Плюсы/минусы, используете в работе/не используете. Ответ В первую очередь хотелось бы оговорить, что прогон и регистрация это.
- Как проверить оптимизацию статьи на предмет ключевых слов? Есть статья на 1800 символов. Как ее проверить по SEO на предмет ключевых слов: достаточно ли их, нужно ли их дополнительно собрать и пр.? Нужен.
- Как удалить http страницы из индекса Google после переезда на https? Сайт уже несколько лет назад переведен на https, со всех страниц с http сделан редирект 301 на https. Но Google несколько десятков страниц с http.