Делаем Firefox сексуальным / Make Firefox sexy

[SynQ]

UPDATE: Новая тема https://rdot.org/forum/showthread.php?t=2875

Делаем Firefox сексуальным.

Патч призван устранить кодирование одинарной кавычки в GET-запросах.

Начиная с версии 3.0 (коммит), Firefox стал урл-кодировать одинарную кавычку (') в %27. Данное поведение нередко может помешать обнаружить SQL инъекцию в веб-приложениях, например, при участии переменных $_SERVER["QUERY_STRING"] и $_SERVER["REQUEST_URI"] в SQL запросах в PHP-приложениях.
Разработчики упорно не признают это недостатком, хотя ни один другой популярный браузер этого не делает.


Патч универсален, патчит Firefox на всех платформах, независимо от локали. Возможна работа на производных от Firefox браузерах (Palemoon, SeaMonkey и т.д.) [требует подтверждения].
Работа патча протестирована на Firefox 3.6, 4.0 и 10.0.

Проверка успешности работы патча:

Цитата:

nc -l -p 7777
Firefox: http://localhost:7777/?quote='

Процесс обновления Firefox следует проводить только (!) с оригинальным xul.dll. После обновления потребуется применить патч снова [см. README.txt].

Пути по умолчанию:

Код:

C:\Program Files\Mozilla Firefox\xul.dll
/usr/lib/firefox-4.0/libxul.so или /usr/lib/xulrunner-2.0/libxul.so	[ubuntu]
/Applications/Firefox.app/Contents/MacOS/XUL

Поведение различных браузеров:

Код:

IE9:	 GET /index.php?id=q'w"e`r HTTP/1.1
Safari5: GET /index.php?id=q'w%22e`r HTTP/1.1
Opera11: GET /index.php?id=q'w%22e%60r HTTP/1.1
FF3.0a4: GET /index.php?id=q'w%22e%60r HTTP/1.1
FF3.0a6: GET /index.php?id=q%27w%22e%60r HTTP/1.1

-----------------------------------------------------------
Апдейт (Февраль 2012)

Начиная с версии 9 немного поменялась строка для поиска (из-за этого коммита), поэтому на Firefox 9, 10 и далее следует использовать 2-рую версию патчера.
Версия 1 по-прежнему применима к Firefox 3.0 – 8.0.


Также доступна версия патчера под Linux (убирает урл-кодирование всех 3 кавычек по желанию, автор n0body ) - make_ff-sexy_v2.tar.bz2.

-----------------------------------------------------------

SynQ, rdot.org

[id13]

А линуховодам как быть?

[Andrey1800]

Цитата:

Сообщение от id13

А линуховодам как быть?

написано же

Цитата:

Патч универсален, патчит Firefox на всех платформах, независимо от локали.

Arch Linux, Firefox 4
путь /usr/lib/xulrunner-2.0/libxul.so - проверено, работает

[SynQ]

Цитата:

Сообщение от id13

А линуховодам как быть?

Пока запускать патч под вайном или в винде (в виртуалке или попросить кого-нибудь). Нативный патч под линукс сделаю не раньше июня-июля.

[id13]

полет нормальный)

[Andrey1800]

альфа версия патча под линь x86
не забудьте бэкапить libxul.so, в проге этого нет)

Код:

md5sum:
12080a98ad666de4b479069318434806  make_ff_sexy
c3a6023b8f3cd50d8f3af8dec4ebf5ad  make_ff_sexy.gz

Код:

[root@andrey1800 ~]# ./make_ff_sexy
Make FF Sexy!

USAGE: ./make_ff_sexy [version] /path/to/libxul.so
Versions:
1 - patch for single quote (')
2 - patch for double-quote (")
3 - patch for backquote (`)
4 - 1+2 versions
5 - 1+3 versions
6 - 2+3 versions
7 - 1+2+3 versions
Example: ./make_ff_sexy 7 /usr/lib/xulrunner-2.0/libxul.so

кстати, им можно патчить и виндовые dll, и маковые XUL, ибо методика такая же как у патчера из первого поста. пропатчил по приколу libxul.so от микроба из комплекта н900 - воркает))

[M@ZAX@KEP]

Репорт:
Debian 6.0.1 x64, Firefox 4

Альфа версия патчера отработала дерзко и чётко. Кавычки встали на место. Автору респект =)

[lukmus]

Fedora 13 x64, FF 3.6
Все ништяк, большое спасибо

[M@ZAX@KEP]

Цитата:

Если же скачать в лисе обновление на патченом xul.dll, выйти из лисы, заменить xul.dll на первоначальный, и запустить лису, то апдейт не пройдет.

Эм.. а типа просто на патченом не обновиться? Зачем после обновления заменять на первоначальный (оригинальный то есть, я так понял)?

[Hank]

как в опире такое сделать, я не понел...
не удаляйти месаги маи..(