扩展知识——JS的劫持技术

最新推荐文章于 2024-05-03 11:47:20 发布
最新推荐文章于 2024-05-03 11:47:20 发布
阅读量608 收藏
点赞数
分类专栏: JS 文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59345890/article/details/124953103
版权

1、黑客劫持网络数据包 然后暴力解码(逆向工程)个人隐私数据被窃取

这里不作说明,感兴趣的自己了解

2、系统的内置功能的重写

例如:

<script>
            var _log=console.log
			console.log=function  (str) {
				_log(str)
				//把hello发送给后台
				_log("我执行了就代表发送给后台了")	
			}						
			console.log("hello")
//控制台打印了hello和我执行了就代表发送给后台了
</script>

3、this关键字的引用劫持

1、call()方法,相当于偷取别人的方法

例如:

<script>
    var obj={name: "karen" ,say:function( ){console.log(this.name)}}
    var obj2={name : "jack"}
    obj.say.call(obj2)//相当于是obj2在调用say方法
    //打印jack
</script>

2、apply()方法,与call()方法功能一样,只是填入的数据装在数组中。

代码展示两者差别:

<script>
     var obj={name: "karen" ,say:function(str1,str2){console.log(this.name,str1,str2)}}
    var obj2={name : "jack"}
    obj.say.call(obj2,10,20)//"jack" 10 20
    obj.say.apply(obj2,[10,20])//"jack" 10 20
    //两个方法结果相同,可以清楚的看到apply传的实参是数组,但是实际打印的并不是,所以是在只是将每个数据放在数组内。
</script>

特殊点注意:运用窃取技术,数字也能获取到方法

<script>
    var arr=[10,230,40,6,2]
    var maxnum=Math.max.apply(0,arr)// 相当于假装0也有max方法
    //0.max(10,230,40,6,2)==>230
    console.log(maxnum)//230
</script>

3、bind()在函数定义时,事先就绑定其调用时候的调用者。

例如:

<script>
      var obj2={name:"jack"}
		  var obj={
			  name:"karen",
			  say:function(){
				  console.log(this)
			  }.bind(obj2) //事先将这个方法指定为obj2调用
		  }		  
		  obj.say() //{name:"jack"}
		  var obj3={name:"marry"}
		  obj.say.call(obj3) //{name:"jack"}
		  obj.say.apply(obj3,[])//{name:"jack"}
</script>

总结

根据官方的源代码推出一些规律

            1.所有的函数对象都有call方法---Function.prototype 有call方法

            2.obj.say.call(obj2) 运行的函数是say函数(哪个函数调call方法就是哪个函数运行)

            3.obj.say.call(obj2) 调用这个函数的对象是obj2(obj2调用say函数)

已知所有函数都有call方法,所以call函数也有call方法,进一步提升

<script>
            function fn () {
				console.log(1)
			}
			function fn2 () {
				console.log(2)
			}			
			fn.call.call(fn2) //打印2

        /*
        解析:
            fn.call是一个函数它有call方法
			fn.call引用了一个函数 这个函数运行
			fn.call是一个函数这个函数是谁调用的? fn2
        */
</script>

M78_国产007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
黑客帝国代码雨实现
weixin_30323961的博客
07-30 1742
第一种方法: <canvas id="matrix"></canvas> JS: 1 $(document).ready(function () { 2 var matrix = document.getElementById("matrix"); 3 var context = matrix.getContext(...
数据劫持详解(JavaScript)
qq_37704442的博客
02-11 695
数据劫持详解
百度快照劫持JS劫持诊断与恢复教程
hua520064的博客
12-24 622
站长们经常遇到js快照劫持的问题,对网站的优化带来及大的影响。对于大多数新手站长来说js快照劫持,束手无策。今天为大家进行一轮深度的解析。 一、IIS7网站监控 IIS7网站监控可以及时防控网站风险,快速准确监控网站是否遭到各种劫持攻击,网站在全国是否能正常打开(查看域名是否被墙),精准的DNS污染检测,具备网站打开速度检测功能,第一时间知道网站是否被黑、被入侵、被改标题、被挂黑链。精益求精的产品,缺陷为零数据提供! 它可以做到以下功能: 1、检测网站是否被黑 2、检测网站是否被劫持 3、检测域名是否被墙
js框架源码
09-05
根据网上的资源整理的一个js的框架,一个面向对象的带继承的,易学易用的js框架,拥有单独的事件机制,有mvc思想便于初学者学习练习。
JavaScript——劫持
z_2532040197的博客
06-15 2209
概念:函数劫持,顾名思义,即在一个函数运行之前把它劫持下来,添加我们想要的功能。当这个函数实际运行的时候,它已经不是原本的函数了,而是带上了被我们添加上去的功能。这也是我们常见的钩子函数的原理之一。...
js中数据劫持(原始版)
m0_46667806的博客
04-11 410
get 获取器: 是一个函数, 返回值就是该 key 对应的值(注意: 不能和 value 和 writable 一起使用)=> 将渲染页面的这个事情和 count 进行关联(只要 count 发生变化, 就自动从新渲染页面)语法: Object.defineProperty(target, key, options)set 设置器: 是一个函数, 当你试图修改该 key 的值的是时候, 会触发该函数。+ 目的: 通过数据的变化, 让页面或者你的实现发生一些变化。-> 改变数据(关心数据)
深入理解Javascript劫持JavaScript Hijacking)原理
士心的博客
07-23 3256
0x0前言 首先说明此类攻击在主流浏览器已近乎失效,此篇文章作为感想记录。 与JSONP不同,此类攻击通过<script>标签绕过同源策略,并利用hook获取返回的数据。 0x1背景 最近在看我司白盒扫描工具的知识库时,发现一个之前没见过的缺陷(Javascript劫持),出于好奇心想深入了解一下这个缺陷,但写此缺陷的资料比较少,特此写下此篇文章。 0x2原理 Javascript劫持与CSRF攻击原理非常相似,唯一不同的是,CSRF是模拟你的身份去发送请求,JavaScript Hijac
JavaScript的骚操作:防抖、节流、柯里化等
漫漫前端路,进一寸有进一寸的欢喜
06-16 2838
JavaScript中有很多骚操作,如深克隆,防抖,节流,柯里化,单参管道函数等等,如果你连这些都不会,你怎么在大佬面前装逼?这篇文章,整理了常见的骚操作。
移动开发构架漫谈——反劫持实战篇
02-25
DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址...
智能家居安全——身份劫持.pdf
09-11
智能家居安全——身份劫持 攻防实训与靶场 系统安全 移动安全 数据安全 身份与访问管理
GoogleDNS劫持背后的技术分析
03-04
最近世界真是越来越不太平了,尤其是对于大部分普通人而言。昨天又传来噩耗,根据网络监测公司BGPMon,Google的公开DNS服务器IP8.8.8.8被劫持到了委内瑞拉和巴西超过22分钟。
javascript的函数劫持浅析
10-21
javascript函数劫持,也就是老外提到的javascript hijacking技术。虽然这个概念在前端领域使用较少,但是在安全领域、自定义业务等场景下还是有一定的使用价值的。所以,这一篇文章将会和大家一起去了解一下JS中的...
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 498
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
element-ui的bug记录
nick_zhang的博客
04-29 386
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
报表控件Stimulsoft在JavaScript报告工具中的事件:查看器事件(上)
励志做最业余的专业博主,控件产品可以私我~
04-28 810
在本文中,我们为JS报告工具中的查看器事件提供了全面的指南,包括它们的详细描述、参数列表等一系列详细内容。
vue快速入门(五十)重定向
不起眼小菜菜的博客
05-03 139
注释很详细,直接上代码……
bpmn-js推荐几款常用的插件
飞云先生
04-30 78
bpmn-js整体框架库的风格是以组件的方式进行实现的,这样的结构也更加便于我们更好的对其进行功能扩展,以及客制化功能实现。其实bpmn.io已经为我们实现了较多场景的组件的实现,了解对应组件的功能更能便于我们区分是否需要自己实现,降低重复造轮子的行为,提高开发效率,本篇文章主要是介绍常见的bpmn-js中使用的组件库。
基于React实现B站评论区
stu_kk的博客
05-02 674
使用React构建了一个仿照B站基本的前端评论系统,实现了动态加载、排序、添加和删除评论的基本功能。通过React的状态管理和事件处理机制,实现了交互式的用户体验。但是在实际应用中,还需考虑与后端接口的交互、错误处理、分页加载、以及更复杂的用户交互逻辑。
《ElementUI 基础知识》el-tabs header 监听鼠标中键滚动时左右滑动(ElementPlus同样适用)
前端技术
04-29 828
监听 el-tabs 头在鼠标 hover 时。滑动鼠标中键,可左右滑动!
【流量劫持】SSLStrip 的未来 —— HTTPS 前端劫持
06-12
对于SSLStrip这种 HTTPS 中间人攻击工具,随着越来越多的网站采用了 HTTPS 加密技术,它的作用已经被大大降低。但是,一些黑客仍然会使用类似的工具来进行前端劫持攻击,其原理是通过将 HTTPS 网站中的一些资源(如图片、脚本等)全部转换为 HTTP 请求,然后将这些请求重定向到攻击者控制的服务器上,从而实现数据篡改、窃取等恶意行为。这种攻击方式被称为 HTTPS 前端劫持。 未来,随着互联网的发展和技术的进步,我们可以预见,HTTP/HTTPS 协议肯定还会有一些新的变化和漏洞出现,黑客们也会继续寻找和利用这些漏洞进行攻击。因此,保护网站和用户的信息安全仍然是一个持续的任务,需要我们不断地加强安全意识,采取更加严格的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值