2017-09-20

猎数博客

数据挖掘,机器学习

在地址栏运行javascript

作者:江航 / 2012-06-20 / (阅读 2,958 次) /



打开一个网页以后,清除地址栏,然后在地址栏键入

javascript:alert(‘hello world’);”

然后就会弹出一个对话框显示’hello world’, 当然你可以在这里键入更多的代码,来运行代码。

—–以下是有关web Hacker—

可以通过void指令来修改cookie;

javascript: void(document.cookie=“PHPSESSID = hacked”); alert(document.cookie);

其中void用来返回一个空值,这样浏览器就不会更新当前页面。修改cookie以后,一些安全性不是很好的网站会很容易被攻破。

假设有个网站中有的可以访问,有的不能访问,并且在cookie中有login=no,那么你可以通过修改login=yes,来访问其他的页面。

另一个用法是通过void来修改form,通常你可以修改form,提交表单,来得到修改后的结果。假设有个表单有个隐藏field price=100, 你可以通过
javascript: void(document.forms[0].price.value= 100); alert(document.forms[0].price.value);

来将这个price的值修改成100, 然后再提交表单。

昨天在ubuntu firefox的某版本上试,不能运行,今天在IE7上实验成功。

另:

在firefox上运行javascript的方法:

alt+ctrl+K 或者 tools->web developer->web console

打开webconsole, 然后在大于号提示符后输入javascript程序,回车即可运行。

—-

发现wordpress对于评论也没有进行过滤,在评论上输入下面的代码,这段javascript将会运行:

alert("hello world");

才发现我的网站是如此的脆弱。



本文地址: http://www.bagualu.net/wordpress/archives/1464 转载请注明






相关文章

  • 在地址栏运行javascript( 2,958 )
  • javascript, php & jason( 2,112 )
  • Javascript 游戏( 1,423 )
  • ajax in web2py( 1,039 )
  • 几种javascript代码( 867 )
  • Captcha和自动化操作( 464 )
  • jquery 选择器( 438 )
  • 一个新的web框架meteor( 365 )
  • 关于跨域请求的问题( 307 )
  • 利用phantomjs和casperjs自动化页面访问( 295 )
  • 2 responses

  • hello

    2014 年 11 月 29 日 am 8:32

    alert(“hello world”);
    顶顶顶

  • admin

    2014 年 02 月 25 日 am 11:10

    现在wordpress升级了,评论中javascript已不能运行了。

  • Leave a Reply

    您必须登录以发表评论,

    沪ICP备11036560号
    联系我: jianghang at bagualu.net