欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

淺談javascript函數(shù)劫持[轉(zhuǎn)自xfocus]第1/3頁

 更新時(shí)間:2008年02月18日 22:03:26   作者:  
javascript函數(shù)劫持,也就是老外提到的javascript hijacking技術(shù)。最早還是和劍心同學(xué)討論問題時(shí)偶然看到的一段代碼

一、概述
javascript函數(shù)劫持,也就是老外提到的javascript hijacking技術(shù)。最早還是和劍心同學(xué)討論問題時(shí)偶然看到的一段代碼,大概這樣寫的:
window.alert = function(s) {};
覺得這種用法很巧妙新穎,和API Hook異曲同工,索性稱之為javascript function hook,也就是函數(shù)劫持。通過替換js函數(shù)的實(shí)現(xiàn)來達(dá)到劫持這個(gè)函數(shù)調(diào)用的目的,一個(gè)完整的hook alert函數(shù)例子如下:
<!--1.htm-->

復(fù)制代碼 代碼如下:

<script type="text/javascript">
<!--
var _alert = alert;
window.alert = function(s) {
if (confirm("是否要彈框框,內(nèi)容是\"" + s + "\"?")) {
_alert(s);
}
}
//-->
</script>
<html>
<body>
<input type="button" onclick="javascript: alert('Hello World!')" value="test" />
</body>
</html>

搞過API Hook的同學(xué)們看到這個(gè)代碼一定會(huì)心的一笑,先保存原函數(shù)實(shí)現(xiàn),然后替換為我們自己的函數(shù)實(shí)現(xiàn),添加我們自己的處理邏輯后最終再調(diào)用原來的函數(shù)實(shí)現(xiàn),這樣這個(gè)alert函數(shù)就被我們劫持了。原理非常簡(jiǎn)單,下面舉些典型的應(yīng)用來看看我們能利用它來做些什么。
二、應(yīng)用舉例
1. 實(shí)現(xiàn)一個(gè)簡(jiǎn)易的javascript debugger,這里說是debugger比較標(biāo)題黨,其實(shí)只是有點(diǎn)類似于debugger的功能,主要利用js函數(shù)劫持來實(shí)現(xiàn)函數(shù)的break point,來看看個(gè)簡(jiǎn)單的例子:
復(fù)制代碼 代碼如下:

<script type="text/javascript">
<!--
var _eval = eval;
eval = function(s) {
if (confirm("eval被調(diào)用\n\n調(diào)用函數(shù)\n" + eval.caller + "\n\n調(diào)用參數(shù)\n" + s)) {
_eval(s);
}
}
//-->
</script>
<html>
<head>
</head>
<body>
<script type="text/javascript">
<!--
function test() {
var a = "alert(1)";
eval(a);
}
function t() {
test();
}
t();
//-->
</script>
</body>
</html>

通過js函數(shù)劫持中斷函數(shù)執(zhí)行,并顯示參數(shù)和函數(shù)調(diào)用者代碼,來看一個(gè)完整例子的效果:
>help
debug commands:
bp <function name> - set a breakpoint on a function, e.g. "bp window.alert".
bl - list all breakpoints.
bc <breakpoint number> - remove a breakpoint by specified number, e.g. "bc 0".
help - help information.
>bp window.alert
* breakpoint on function "window.alert" added successfully.
>bl
* 1 breakpoints:
0 - window.alert
>bc 0
* breakpoint on function "window.alert" deleted successfully.
這里演示設(shè)置斷點(diǎn),察看斷點(diǎn)和刪除斷點(diǎn),完整代碼在本文附錄[1]給出。
2. 設(shè)置陷阱實(shí)時(shí)捕捉跨站測(cè)試者,搞跨站的人總習(xí)慣用alert來確認(rèn)是否存在跨站,如果你要監(jiān)控是否有人在測(cè)試你的網(wǎng)站xss的話,可以在你要監(jiān)控的頁面里hook alert函數(shù),記錄alert調(diào)用情況:
復(fù)制代碼 代碼如下:

<script type="text/javascript">
<!--
function log(s) {
var img = new Image();
img.style.width = img.style.height = 0;
img.src = "http://yousite.com/log.php?caller=" + encodeURIComponent(s);
}
var _alert = alert;
window.alert = function(s) {
log(alert.caller);
_alert(s);
}
//-->
</script>

當(dāng)然,你這個(gè)函數(shù)要加到頁面的最開始,而且還要比較隱蔽一些,赫赫,你甚至可以使alert不彈框或者彈個(gè)警告框,讓測(cè)試者抓狂一把。
3. 實(shí)現(xiàn)DOM XSS自動(dòng)化掃描,目前一般的XSS自動(dòng)化掃描的方法是從http返回結(jié)果中搜索特征來確定是否存在漏洞,但是這種方法不適用于掃描DOM XSS,因?yàn)镈OM XSS是由客戶端腳本造成的,比如前段時(shí)間劍心發(fā)現(xiàn)的google的跨站(見附錄[2])原理如下:
document.write(document.location.hash);
這樣的跨站無法反映在http response里,所以傳統(tǒng)掃描方法沒法掃描出來。但是如果你從上個(gè)例子里受到啟發(fā)的話,一定會(huì)想到設(shè)置陷阱的辦法,DOM XSS最終導(dǎo)致alert被執(zhí)行,所以我們hook alert函數(shù)設(shè)置陷阱,如果XSS成功則會(huì)去調(diào)用alert函數(shù),觸發(fā)我們的陷阱記錄結(jié)果,這樣就可以實(shí)現(xiàn)DOM XSS的自動(dòng)化掃描,陷阱代碼類似于上面。
4. 靈活的使用js劫持輔助你的頁面代碼分析工作,比如分析網(wǎng)頁木馬時(shí),經(jīng)常會(huì)有通過eval或者document.write來進(jìn)行加密的情況,于是我們編寫段hook eval和document.write的小工具,輔助解密:
復(fù)制代碼 代碼如下:

<script type="text/javascript">
<!--
var _eval = eval;
eval = window.execScript = window.document.write = window.document.writeln = function(s) {
document.getElementById("output").value = s;
}
//-->
</script>
<html>
<body>
input:
<textarea id="input" cols="80" rows="10"></textarea>
<input type="button" onclick="javascript: _eval(document.getElementById('input').value);" value="decode" />
<br />
output:
<textarea id="output" cols="80" rows="10"></textarea>
</body>
</html>

在input框里輸入加密的代碼:
eval(unescape("%61%6C%65%72%74%28%31%29%3B"));
在output框里輸出解碼后的代碼:
alert(1);
當(dāng)然你還能想到更多的靈活應(yīng)用:)

相關(guān)文章

最新評(píng)論