本文转载自http://www.boolean.net.cn/wordpress/?p=10
本文主要介绍javascript的网页注入技术。
对于javascript的网页注入技术,我的个人理解是这样的。就是通过使用网址输入javascript语句,用户通过打开这个网址注入原网页本身没有的javascript代码,从而达到自己的目的。
好了,言归正传。
我们在浏览别人网页的时候,有时候可能需要运行原网页没有的javascript代码,在单机调试的时候,我们可以通过在网址输入栏里面输入类似 javascript:alert(’boolean.net.cn’); 这样的语句来执行,可是如何让网页一打开就执行我们的代码呢。
下面我们来看这个网址:
打开后,是不是弹出了aa的对话框?
这个或许使用的是网页开发人员的一个小的疏忽,在处理request的时候没有检查各个变量而将他直接输出的,如果连接数据库他不检查的话,就会引起sql注入,但是不连接数据库的话直接输出会发生什么事呢?
请看下篇。。。。