在地址栏运行javascript

打开一个网页以后,清除地址栏,然后在地址栏键入

javascript:alert(‘hello world’);”

然后就会弹出一个对话框显示’hello world’, 当然你可以在这里键入更多的代码,来运行代码。

—–以下是有关web Hacker—

可以通过void指令来修改cookie;

javascript: void(document.cookie=“PHPSESSID = hacked”); alert(document.cookie);

其中void用来返回一个空值,这样浏览器就不会更新当前页面。修改cookie以后,一些安全性不是很好的网站会很容易被攻破。

假设有个网站中有的可以访问,有的不能访问,并且在cookie中有login=no,那么你可以通过修改login=yes,来访问其他的页面。

另一个用法是通过void来修改form,通常你可以修改form,提交表单,来得到修改后的结果。假设有个表单有个隐藏field price=100, 你可以通过
javascript: void(document.forms[0].price.value= 100); alert(document.forms[0].price.value);

来将这个price的值修改成100, 然后再提交表单。

昨天在ubuntu firefox的某版本上试,不能运行,今天在IE7上实验成功。

另:

在firefox上运行javascript的方法:

alt+ctrl+K 或者 tools->web developer->web console

打开webconsole, 然后在大于号提示符后输入javascript程序,回车即可运行。

—-

发现wordpress对于评论也没有进行过滤,在评论上输入下面的代码,这段javascript将会运行:

alert("hello world");

才发现我的网站是如此的脆弱。



本文地址: http://www.bagualu.net/wordpress/archives/1464 转载请注明




“在地址栏运行javascript”的2个回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注