JavaScript 函数劫持并不是什么新颖的技术了。这两天在和同事吹牛的过程中提到了这个,就简单地再回顾回顾,以及假想在攻防的运用场景。
JavaScript 函数劫持(javascript hijacking)简介
一个简单的示例如下,主要逻辑就是,用变量 _alert保存原函数 alert,然后重写 alert 函数,在重写的函数最后调用原函数。这样得到的一个效果就是调用 alert 的时候,可以往 alert 中加入其它操作。比如如下代码中进行一个赋值。
日志记录
这种编程技巧常用于开发中的日志收集与格式化。既然可以劫持函数加入自己的操作,那么就可以在比较隐蔽的执行一些猥琐的操作。比如:
一文中提到的通过 Hook alert 函数来记录调用情况,或者弹一些警告信息,这样就可以记录到测试者的网络出口ip、浏览器指纹等信息也加上,没准就是日后的呈堂证供。
探针
在某些场景下,比如:已有权限,但是数据库中密码是加密的,无法解开。又或者需要探测目标人员访问此网站的规律。此时就可以利用劫持登录函数来记录明文的账号密码。如下示例:
onclick 事件会调用 login 函数发送请求包:
可以劫持 login 函数,在发送登陆请求前,先发到探针文件中做一些记录帐号密码等操作。
log.php 的内容如下:
也许在实际中更常见的表单形式应该是下面这种。
这种表单也可以通过小小的改动,很简单的记录到信息,下面使用的是 onsubmit 事件,用如下方式即可:
同一个js中一个方法怎样调用另一个方法中的参数
简单点的说 打比方 你js的某个方法 function(id){ ......} 你的意思是想在下面的方法调用id这个参数值是吧 很简单 在上面方法里面定义: this._id=id 下面的方法直接调用this._id 就可以直接用了!
javascript创建动态函数var alsoDoSquare = doAdd
单从你提供的这几句代码来看,
varalsoDoSquare=doAdd;
alert(alsoDoSquare(3,2));
这两句话里面的doAdd和alsoDoSquare你都没有定义,运行的话,会报Exception:doAddis
Notdefined和alsoDoSquareisnotdefined
假如你定义好函数doAdd了的话,varalsoDoSquare=doAdd();//调用函数记得,函数名后的
//括号()。
你的调用是错的,这才导致你说后面的代码没意义吧。
我在网页上写了一个Javascript代码,写了一个函数,但是在调用它的时候发现了一个小小的错误,这是为什么呢,我明明是调用了这个function呀。代码如下:
汗汗,如果不是找到你QQ,还真看不见你的代码呢。你的逻辑是没有错误的,但是在JS中要注意一点,一旦一个function 独立出来了,你用对象的事件来调取这个 function 时就要注意了,此时的被调用函数不能加上()所以,应该写为: function aa(){....}=aa;
发表评论