什么是函数劫持

于 2024-04-14 00:00:00 发布
阅读量776 收藏 12
点赞数 7
分类专栏: 前端面试题 前端杂货铺 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BradenHan/article/details/137525443
版权

函数劫持

在 JavaScript 中,函数劫持(Function Hijacking)是指 通过修改或替换函数的行为来达到控制或篡改程序逻辑的目的

函数劫持通常是通过以下几种方式实现的:

  1. 修改函数的定义:通过修改函数本身的代码或属性来改变其行为。这可以包括添加、删除或修改函数的参数、返回值、执行逻辑等。

  2. 代理函数:通过创建一个代理函数来包裹原始函数,在执行前后进行额外的操作或修改。代理函数可以在调用原始函数之前执行前置处理,或在调用后执行后置处理。

  3. 执行上下文劫持:通过改变函数的执行上下文(this 值)来控制函数的行为。通过使用 callapplybind 方法,将函数绑定到不同的对象上,从而改变 this 的指向。

函数劫持目的

函数劫持可以用于多种目的,包括但不限于以下几个方面:

  1. 监听和拦截函数调用:可以在函数执行前后插入额外的逻辑,如日志记录、参数验证、性能监测等。

  2. 动态修改函数行为:可以修改函数的逻辑或参数,使其符合特定需求。例如,对第三方库的函数进行修改以增加额外功能或修复问题。

  3. 窃取函数功能:可以利用函数劫持来窃取其他函数的功能,实现类似 AOP(面向切面编程)的效果。

需要注意的是,函数劫持可能会导致代码的可读性和维护性降低,因为它改变了原始函数的行为,使代码的执行流程变得不可预测。因此,在使用函数劫持时需要谨慎,并确保清晰地理解其影响和副作用。

更多详细内容,请微信搜索“前端爱好者戳我 查看

举例

在 JavaScript 中,函数劫持是指通过修改函数的行为来控制或篡改程序逻辑的过程。

下面我将举例说明几种常见的函数劫持方式。

修改函数的定义:
// 原始函数
function originalFunction() {
  console.log("这是原始函数");
}

// 修改函数的定义
originalFunction = function() {
  console.log("这是修改后的函数");
};

// 调用函数
originalFunction(); // 输出:这是修改后的函数

我们通过将 originalFunction 的定义替换为一个新的函数,成功地劫持了原始函数的行为。

现在调用 originalFunction() 将输出修改后的内容。

代理函数:
// 原始函数
function originalFunction(arg) {
  console.log("原始函数被调用,参数为: " + arg);
}

// 代理函数
function proxyFunction(arg) {
  console.log("代理函数执行前置操作");
  originalFunction(arg);
  console.log("代理函数执行后置操作");
}

// 调用代理函数
proxyFunction("Hello");

我们创建了一个代理函数 proxyFunction 来包裹原始函数 originalFunction

代理函数在调用原始函数前后分别执行前置操作和后置操作,从而实现对原始函数行为的劫持。

执行上下文劫持:
// 原始对象
const obj = {
  value: 42
};

// 原始函数
function originalFunction() {
  console.log(this.value);
}

// 执行上下文劫持
originalFunction.call(obj); // 输出:42

我们使用 call 方法将原始函数 originalFunction 与对象 obj 进行绑定。

通过执行上下文劫持,将函数的执行上下文(即 this 的值)改变为 obj,使得函数在调用时可以访问到 obj 对象的属性。

这些例子展示了不同类型的函数劫持方式。它们可以被应用于各种场景,如日志记录、参数验证、性能监测等,但需要注意合理使用,避免对代码的可读性和维护性造成负面影响。

前端布道人
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
五分钟新概念之函数劫持
微信-sjk6070
03-06 553
今天接触到了一个陌生的名词:函数劫持,查了一些资料记录一下。 函数劫持的意思是在一个函数运行之前把它劫持下来,添加我们想要的功能,然后再调用原来的函数执行。这也是常见的钩子函数的原理之一。 举一个简单的例子: var _alert = alert; window.alert = function(s) { console.log(‘alert:’, s); _alert(s); } 复制代码二、应...
Linux函数调用劫持的方法总结(带图)
weixin_38371073的博客
05-20 3470
参考文章: https://www.cnblogs.com/LittleHann/p/3854977.html https://lwn.net/Articles/132196/ https://blog.csdn.net/andy205214/article/details/77148573 https://www.cnblogs.com/arnoldlu/p/9752061.html 1.概览 Ring3中劫持 基于环境变量LD_PRELOAD的动态库劫持 Ring0中劫持 Kerne.
你有用过 JavaScript 中的函数劫持么?
Trouvailless的博客
05-18 451
什么是函数劫持 最近业务上看到一段逻辑,找了好久,没发现它是怎么被触发的,后来发现其实使用了函数劫持,大致如下: // 原始函数 var saveLog = function (log) { console.log(`我保存了日志:${log}`); } // 1-保存原有函数 var originSaveLog = saveLog; // 2-改写原有函数 saveLog = function () { const args = Array.prototype.slice.call(ar
Linux 函数调用劫持的方法总结(带图)
布袋和尚
06-24 888
Ring3中劫持Ring0中劫持Kernel Inline Hooksyscall table 修改内核调试机制 Kprobe在 Linux 中,动态库加载的时候,会按照以下顺序进行搜索:方法原理:通过 LD_PERELOAD 定义在程序运行前优先加载的动态链接库为自己编写的动态库。例子:劫持 gets() 函数 设置 LD_PRELOAD 编写一个测试程序 test.c 函数调用劫持效果 2.1、Kernel Inline Hook原理:一个系统调用会调用子函数的,这是通过段内偏移的方式完成
函数劫持:即在一个函数运行之前把它劫持下来,添加我们想要的功能。
嗨皮的博客
11-12 358
函数劫持的三种常用方法:call、apply、 bind
javascript的函数劫持浅析
10-21
javascript函数劫持,也就是老外提到的javascript hijacking技术。虽然这个概念在前端领域使用较少,但是在安全领域...所以,这一篇文章将会和大家一起去了解一下JS中的函数劫持是什么,有什么作用,下面来一起看看吧。
c语言学习笔记劫持函数劫持函数.docx
03-24
Detours库是一个开源的函数劫持库,提供了一个简单的API来实现函数劫持。Detours库可以在Windows平台上使用,且支持x86和x64架构。 在这个笔记中,我们将使用Detours库来劫持Windows API中的MessageBoxW函数。...
浅谈javascript函数劫持[转自xfocus]第1/3页
10-30
javascript函数劫持,也就是老外提到的javascript hijacking技术。最早还是和剑心同学讨论问题时偶然看到的一段代码
JavaScript的函数劫持
上庸者-不服周
10-22 975
函数劫持
立即执行函数函数劫持
qq_60837087的博客
11-13 164
立即执行函数函数劫持
函数劫持
forfcw
07-23 455
#include <stdio.h> #include <stdlib.h> #include <Windows.h> #include<string.h> #include "detours.h" #pragma comment(lib,"detours.lib") //指针存储系统函数 static BOOL (WINAPI *poldCrea...
谈谈JS中的函数劫持
weixin_34119545的博客
09-21 127
说到劫持,第一反应可能是什么不好的东西。函数劫持并不邪恶,关键是看使用的人。虽然这个概念在前端领域使用较少,但是在安全领域、自定义业务等场景下还是有一定的使用价值的。所以,这一篇文章将会和大家一起去了解一下JS中的函数劫持是什么,有什么用。 基本概念 函数劫持,顾名思义,即在一个函数运行之前把它劫持下来,添加我们想要的功能。当这个函数实际...
JS劫持
manyueruoque的专栏
10-07 1241
浅谈javascript函数劫持 2011-01-15 10:59:56     我来说两句       收藏  我要投稿 by luoluo on 2007-11-30 luoluonet_at_yahoo.cn http://www.ph4nt0m.org 一、概述 javascript函数劫持,也就是老外提到的javascript hijacking技术。最早还是和
Dll导出函数劫持通用方法
meanong的博客
06-04 5453
问题发现 劫持方法 劫持思路 可能问题 劫持实现 导出函数列表 函数上下文 获取真函数的地址 eax值的保存 完整代码 问题发现 dll劫持是一种常见的攻击方法,但是也可以用在不知道程序源码的情况下调试dll的函数。之前在滴水教程的视频中注意到一个问题,视频作者演示了一个劫持messagebox函数,打印输出参数的过程,当时学生提问是否存在一种通用的方法可以劫持所有的函数,...
linux库函数劫持技术
fivedoumi的专栏
10-29 2475
原文地址:linux库函数劫持技术 作者:CUKdd 众所周知,在Windows平台下可以使用挂钩(Hook)技术,将系统中的鼠标、键盘等事件拦截下来,以添加实现自己的功能。同样的,在Linux系统中也有类似的技术,都可以起到挂钩(Hook)拦截的作用。虽然可以实现拦截的功能,但是它们的实现原理是不同的(这点一定要注意)。 目前为止,笔者所知道的Linux系统下的一
JavaScript中简单函数定义调用,以及函数劫持
雨落长安街
07-10 1144
1.函数定义三种方式<!DOCTYPE html> <html> <head lang="en"> <meta charset="UTF-8"> <title>函数的定义</title> </head><script type="text/javascript"> function f1() { alert("一般方式"); } var f2 = f
js中的函数劫持
标子 的专栏
01-18 2596
js中的很多对象属性都是可以被用户改写的,这很容易让坏人进行属性的劫持。当一个网站存在xss漏洞的时候,我们可以注入自己的js,进行函数劫持。 var tmp = JSON.stringify; JSON.stringify = function(data) { $.ajax({ url:'http://localhost',
linux劫持内核函数,Linux系统内核劫持方法分析
最新发布
06-09
Linux内核函数劫持是一种重要的攻击技术,攻击者可以利用它来实现各种恶意行为,例如窃取用户信息、篡改系统数据等。Linux内核函数劫持需要攻击者在系统内核中修改某些函数的指针,使其指向攻击者自己编写的恶意代码,从而实现劫持目的。 以下是一些常见的Linux内核函数劫持方法: 1. Hooking:Hooking是一种常见的内核函数劫持方法,它通过修改内核模块中的函数指针,将目标函数指向攻击者自己编写的代码。Hooking的主要优点是可以在不修改内核源代码的情况下实现内核函数劫持。 2. System call table hijacking:系统调用表劫持是一种比Hooking更为高级的内核函数劫持方法。它通过修改系统调用表中的函数指针,将目标函数指向攻击者自己编写的代码。这种方法需要攻击者有足够的Linux内核编程技能。 3. Module hijacking:模块劫持是一种通过加载恶意内核模块来实现内核函数劫持的方法。攻击者可以通过模块重定向来修改内核模块中的函数指针。这种方法需要攻击者有足够的Linux内核编程技能。 4. Kprobes:Kprobes是一种Linux内核调试工具,可以用于实现内核函数劫持。攻击者可以使用Kprobes来监视目标函数的调用,并在调用时修改函数指针。这种方法需要攻击者有足够的Linux内核编程技能。 总之,Linux内核函数劫持是一种非常危险的攻击技术,攻击者可以通过它来窃取用户信息、篡改系统数据等。为了保护系统安全,我们需要采取一系列措施来防范内核函数劫持攻击,例如使用安全的内核模块、启用SELinux等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

前端布道人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值