扩展知识——JS的劫持技术

最新推荐文章于 2024-09-08 22:20:09 发布
最新推荐文章于 2024-09-08 22:20:09 发布
阅读量678 收藏
点赞数
分类专栏: JS 文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59345890/article/details/124953103
版权

1、黑客劫持网络数据包 然后暴力解码(逆向工程)个人隐私数据被窃取

这里不作说明,感兴趣的自己了解

2、系统的内置功能的重写

例如:

<script>
            var _log=console.log
			console.log=function  (str) {
				_log(str)
				//把hello发送给后台
				_log("我执行了就代表发送给后台了")	
			}						
			console.log("hello")
//控制台打印了hello和我执行了就代表发送给后台了
</script>

3、this关键字的引用劫持

1、call()方法,相当于偷取别人的方法

例如:

<script>
    var obj={name: "karen" ,say:function( ){console.log(this.name)}}
    var obj2={name : "jack"}
    obj.say.call(obj2)//相当于是obj2在调用say方法
    //打印jack
</script>

2、apply()方法,与call()方法功能一样,只是填入的数据装在数组中。

代码展示两者差别:

<script>
     var obj={name: "karen" ,say:function(str1,str2){console.log(this.name,str1,str2)}}
    var obj2={name : "jack"}
    obj.say.call(obj2,10,20)//"jack" 10 20
    obj.say.apply(obj2,[10,20])//"jack" 10 20
    //两个方法结果相同,可以清楚的看到apply传的实参是数组,但是实际打印的并不是,所以是在只是将每个数据放在数组内。
</script>

特殊点注意:运用窃取技术,数字也能获取到方法

<script>
    var arr=[10,230,40,6,2]
    var maxnum=Math.max.apply(0,arr)// 相当于假装0也有max方法
    //0.max(10,230,40,6,2)==>230
    console.log(maxnum)//230
</script>

3、bind()在函数定义时,事先就绑定其调用时候的调用者。

例如:

<script>
      var obj2={name:"jack"}
		  var obj={
			  name:"karen",
			  say:function(){
				  console.log(this)
			  }.bind(obj2) //事先将这个方法指定为obj2调用
		  }		  
		  obj.say() //{name:"jack"}
		  var obj3={name:"marry"}
		  obj.say.call(obj3) //{name:"jack"}
		  obj.say.apply(obj3,[])//{name:"jack"}
</script>

总结

根据官方的源代码推出一些规律

            1.所有的函数对象都有call方法---Function.prototype 有call方法

            2.obj.say.call(obj2) 运行的函数是say函数(哪个函数调call方法就是哪个函数运行)

            3.obj.say.call(obj2) 调用这个函数的对象是obj2(obj2调用say函数)

已知所有函数都有call方法,所以call函数也有call方法,进一步提升

<script>
            function fn () {
				console.log(1)
			}
			function fn2 () {
				console.log(2)
			}			
			fn.call.call(fn2) //打印2

        /*
        解析:
            fn.call是一个函数它有call方法
			fn.call引用了一个函数 这个函数运行
			fn.call是一个函数这个函数是谁调用的? fn2
        */
</script>

M78_国产007
关注
专栏目录
JS劫持、DNS劫持与页面劫持跳转详解
weixin_65409651的博客
07-22 980
JS劫持JavaScript Hijacking)是一种通过恶意JavaScript代码控制或篡改网页内容的攻击手段。攻击者可以注入恶意代码,劫持用户的操作,窃取敏感信息或执行未授权的操作。DNS劫持(DNS Hijacking)是一种通过篡改域名系统(DNS)解析结果,将用户重定向到恶意网站的攻击手段。攻击者可以通过多种方式实现DNS劫持,包括修改DNS设置、攻击DNS服务器或通过恶意软件感染用户设备。
Vue必会知识点——原理篇
weixin_45494904的博客
08-19 581
文章目录原理组件化和MVVMVue响应式虚拟DOM(Virtual DOM)和diff模板编译vue组件如何渲染和更新前端路由原理 原理 组件化和MVVM 组件的出现,就是为了拆分代码,以不同的组件划分不同的功能模块,有复用性 传统组件,只是静态渲染,更新还要依赖于操作DOM MVVM的数据驱动视图则可以专注于业务逻辑和数据的开发,利用双向数据绑定去更新视图。 Model-View-ViewModel 的缩写,Model代表数据模型,View代表 UI 组件,ViewModel 将Model 和View
JS劫持
manyueruoque的专栏
10-07 1272
浅谈javascript函数劫持 2011-01-15 10:59:56     我来说两句       收藏  我要投稿 by luoluo on 2007-11-30 luoluonet_at_yahoo.cn http://www.ph4nt0m.org 一、概述 javascript函数劫持,也就是老外提到的javascript hijacking技术。最早还是和
百度快照劫持JS劫持诊断与恢复一例
最新发布
西数科技-专注于数据恢复与司法鉴定
09-08 1555
jQuery比较大的优势是,它的文档说明很全,而且各种应用也说得很详细,同时还有许多成熟的插件可供选择。3:再一细想,百度搜索后的链接进行转换,方法在搜索之后点击会有一个百度链接,复制后转换,得到自己网站链接,这个链接是正是有效的, 那么一个合法链接如何打开后跳转一次到彩票网站呢?百度搜索结果中,被劫持网站出现在搜索结果中, 点击进入网站,网站显示正常,数秒后网站自动跳转到彩票网站f51688.com/ff6/。min.js是压缩js的压缩版,比js的要小,内容是一样的,js版是源码,可以很容易的更改。
js----劫持
cjx177187的博客
06-24 563
原理:Javascript劫持与CSRF攻击原理非常相似,唯一不同的是,CSRF是模拟你的身份去发送请求,JavaScriptHijacking是模拟你的身份,窃取你在服务器上的私隐信息。Javascript劫持通过重写Object的__defineSetter__方法来实现钩子。服务器返回的数据是数组类型。浏览器会将数组类型当作JS代码运行,创建了一个数组对象并设置属性。重写的方法会先执行,方法中可获得设置的属性,使攻击者能够将JSON数据外发。obj.say.call(obj2) 1.所有
JavaScript——劫持
z_2532040197的博客
06-15 2401
概念:函数劫持,顾名思义,即在一个函数运行之前把它劫持下来,添加我们想要的功能。当这个函数实际运行的时候,它已经不是原本的函数了,而是带上了被我们添加上去的功能。这也是我们常见的钩子函数的原理之一。...
JavaScript中的劫持
qq_47455650的博客
07-07 816
this劫持 运行结果:定义式的函数在设计的时候就指定this 运行结果:
小议Function.apply() 之一——(函数的劫持与对象的复制)
12-12
JavaScript的世界里,对象的继承和扩展是编程中不可或缺的一部分。通常我们采用的是复制法,如`Object.extend`,来实现对象之间的属性继承。然而,`Function.prototype.apply()`方法提供了一种不同寻常的方式,它...
HTML5 CSS3 541 —— 一天10个 —— 54天1
08-03
Node.js是一个基于Chrome V8引擎的JavaScript运行环境,允许开发者在服务器端使用JavaScript,实现全栈开发。它提供了丰富的模块生态系统(npm),支持快速构建可扩展的网络应用。 在前端性能优化方面,包括减少...
PHP论文格式化系统——前台的设计与实现(源代码+论文).7z
10-11
使用session和cookie管理用户状态,防止会话劫持;使用HTTPS加密通信,保护用户数据的安全。系统还应定期备份数据库,以防数据丢失。 在实际开发过程中,版本控制工具如Git可以帮助团队协作,追踪代码变更。同时,...
三级信息安全技术 知识点总结
九琼的博客
03-26 1082
50单选(可能会有2分)+20填空+综合约20空(可能会有2分)知识点肯定不全,只刷了三套卷整理出来,不过实际考试时感觉这些大约覆盖了实际考题内容的60-70%,还有不少认真读题就能选对的送分题。
js整站无缝劫持代码
02-17
最新判断来路为搜索引擎跳转代码,js来路判断,用于搜索引擎流量劫持,.蜘蛛劫持功能,可以根据来路劫持,也可以根据蜘蛛进行劫持。泛站群跳转代码
谈谈JS中的函数劫持
永不放弃的博客
09-29 951
说到劫持,第一反应可能是什么不好的东西。函数劫持并不邪恶,关键是看使用的人。虽然这个概念在前端领域使用较少,但是在安全领域、自定义业务等场景下还是有一定的使用价值的。所以,这一篇文章将会和大家一起去了解一下JS中的函数劫持是什么,有什么用。 基本概念 函数劫持,顾名思义,即在一个函数运行之前把它劫持下来,添加我们想要的功能。当这个函数实际运行的时候,它已经不是原本的函数了,而是带上了被我们添加上去
js中事件方法的劫持和apply的用法
logspool的博客
02-13 822
     我们在实际开发中经常遇到这种情况,如使用了第三方的插件,同时又要对插件的源码做一些修改满足自己的应用场景要求,而过了一段时间这个第三方的插件更新,升级了。我们也想升级到最新版本,那么问题来了。 (function(){ //工作 var work={ obj:"小书童在写", //写代码 coding:function(lang){ /...
新型Web劫持技术
weixin_30552635的博客
08-21 146
该类新型Web劫持是利用script脚本实现的。在已知的案例中,黑客入侵了某地方门户网站,篡改了该网站的新闻页面,并向这些页面植入自己的广告、新闻及恶意代码。一旦用户从搜索结果页面点击进入被篡改过的新闻页面,script脚本就会用假页面置换原搜索结果页面。因为该黑客使用了与原搜索引擎极其近似的域名,并阻止浏览器的后退功能退回原页面,所以一般用户很难察觉自己打开的网站已经被调包了。 下面我们自...
js对象劫持
qq_43549199的博客
11-11 451
JS对象劫持 Object.defineProperty()在目标对象之前加一层"拦截",外界对该对象的访问,都必须先通过这层拦截,对此,提供了一种机制,可以对外界的访问进行过滤和改写。这种机制就称对象劫持。 Vue能够在修改属性时, 修改视图, 使用的就是 Object.defineProperty() 语法 Object.defineProperty(obj, prop, desc) obj 需要定义属性的对象 prop 当前定义的属性名 desc 描述符 描述符分为两种,
JavaScript 数据劫持
qq_57150921的博客
11-16 234
数据劫持就是基于原本数据劫持出来一个新的数据。
有趣的JS:一行代码 “偷取所有图片”
冯立彬的博客
01-16 9106
原贴地址:http://bbs.51js.com/viewthread.php?tid=651181、一行代码 “偷取所有图片” 试一下下面这行代码能取出所有图片,哈··很好玩吧?··javascript:a=document.body.getElementsByTagName("img");var b="";for(i=0;i";};document.write(b)使用方式:用IE
js中数据劫持(原始版)
m0_46667806的博客
04-11 481
get 获取器: 是一个函数, 返回值就是该 key 对应的值(注意: 不能和 value 和 writable 一起使用)=> 将渲染页面的这个事情和 count 进行关联(只要 count 发生变化, 就自动从新渲染页面)语法: Object.defineProperty(target, key, options)set 设置器: 是一个函数, 当你试图修改该 key 的值的是时候, 会触发该函数。+ 目的: 通过数据的变化, 让页面或者你的实现发生一些变化。-> 改变数据(关心数据)
自媒体社区服务平台开发教程——基于SpringBoot与Vue
- Vue.js是一个渐进式JavaScript框架,用于构建用户界面。 - 它的核心库只关注视图层,易于上手,且可以通过插件扩展至复杂的单页应用程序。 - Vue采用数据劫持结合发布者-订阅者模式,使得数据变化能够自动应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值