解决ajax劫持,Ajax 实现网站劫持的检测方法

最新推荐文章于 2024-05-27 14:40:15 发布
最新推荐文章于 2024-05-27 14:40:15 发布
阅读量218 收藏
点赞数
文章标签: 解决ajax劫持

原标题:Ajax 实现网站劫持的检测方法

https可以彻底解决劫持的问题。但是一般虚拟主机都不支持 https,难道http只能任流氓们恶意劫持么?

既然只有第一次访问时才会出现抽奖链接,通过JS在浏览器中检测,如果发现 被植入的 代码,则自动刷新网页,就可以解决被劫持的问题了。

现在要做的就是得到 被植入的代码。找了一圈,没有找到检查的工具。网站传输到客户的浏览器,需要三个步骤:【1】服务器 -> 【2】运行商 -> 【3】客户浏览器。

劫持出现在第【2】步,因为离开了服务器,已经不受控制了。但是第【3】部的浏览器可以通过JS来控制。通过 Ajax 上传 客户最终获取到的代码,就可以对进行分析了。

运行效果如下:

bca2536e8788bda6ead47104705f37a1.png

//根据访问域名,创建不同的目录

$log_path = $_SERVER [ 'SERVER_NAME' ];

if ( ! is_dir ( $log_path ) ){

mkdir ( $log_path );

}

//根据访客IP,分别记录

$log_path .= '/' . $_SERVER [ 'REMOTE_ADDR' ];

if ( ! is_dir ( $log_path ) ){

mkdir ( $log_path );

}

//按天分组

$log_path .= '/' . date ( 'Y-m-d' , time());

if ( ! is_dir ( $log_path ) ){

mkdir ( $log_path );

}

//根据时间生成文件名

$log_file = $log_path . '/' . date ( 'His' , time()) . '_' . rand() . '.html' ;

//保存日志

$html = '' ;

$html .= 'URL:/' . post( 'url' ) . '

' ;

$html .= 'HEAD:' . post( 'head' ) . '

' ;

$html .= 'BODY:' . post( 'body' ) . '' ;

file_put_contents ( $log_file , $html );

die ( '{"help":"http://www.miaoqiyuan.cn/p/browser-page-tracert/","log_file":"' . $log_file . '"}' );

//调用的函数

function post( $input ){

$post_str = isset( $_POST [ $input ]) ? $_POST [ $input ] : '' ;

$post_str = str_replace ( '' , '' , $post_str );

$post_str = iconv_substr( $post_str , 0, 50000); //防止恶意上传假日志

return $post_str ;

}

?>

调用很简单,比如将 上边的php代码保存到了 /log/page_tracert.php,然后在整站页面中都加入 以下的代码,就可以获取到 所有的访问记录了。根据访问记录,得到 被植入的代码后,就可以进行检测脚本的开发了。

1

2

3

4

5

6

7

$( function (){

$.post( '/log/page_tracert.php' ,{

url : location.href,

head : $( 'head' ).html(),

body : $( 'body' ).html(),

}, function (){});

});

注意:得到数据后,一定要尽快删除 测试代码。因为他会产生大量的日志,产生虚拟主机双倍的流量消耗。返回搜狐,查看更多

责任编辑:

钢盅郭子
关注
Ajax 实现网站劫持检测方法
10-19
然而,通过利用Ajax技术,我们可以实现在浏览器端对网站劫持进行检测,从而及时发现并处理被植入的恶意代码。Ajax全称Asynchronous JavaScript and XML,是一种在无需重新加载整个页面的情况下,能够更新部分网页的...
关于AJAX应用的时候,出现open("GET",url,true)错误的解决方法
人生得意须尽欢,莫使金樽空对月~
07-01 1573
<br />当然,这是我第一次真正写好了一个AJAX程序,按照网上的W3C教程做,后来点击运行的时候,出现错误,在open方法中,不可理解!搞了半天也没有能够运行成功。最后,通过百度了一下,原来是我写的程序有要执行ASP程序的地方,因此,必须放置文件到服务器的访问目录下面才可以被外部访问。<br />既然如此,我就把它放到了Tomcat的webapp目录下面,发现不行,原因是Tomcat只能解析Java语言的JSP程序,不能解析ASP。于是乎,想到了很久没有使用过的IIS,这家伙肯定能够支持ASP。配置好I
解决ajax劫持,加强JavaScript劫持:使用Jquery Ajax的易受攻击的框架aspx
weixin_31156945的博客
08-05 872
我正在开发一个遗留系统,我们刚刚用HP Fortify扫描了它,得到了JavaScript劫持:易受攻击的框架,代码如下。function getMissionOverwriteDocsDataCountComponent(siteNo, fcg, catCode, facNo, assetUid, compNo) {// Make the Ajax call$.ajax({url: 'Missi...
Mock.mock(url,rtype, template)劫持ajax的原理(个人理解)
黄彪博客
04-16 4600
文章目录Mock.mock(url, template)的原理api相对路径请求,mockjs查询不到数据错误演示解决办法 Mock.mock(url, template)的原理 查看了mockjs的源码,实际上是内部是采用ajax劫持 —— 将本地的 if (XHR) window.XMLHttpRequest = XHR // 拦截 XHR 根据 url+type 作为关键字,缓存 temp...
解决ajax劫持,ajax劫持
weixin_33277215的博客
08-05 292
var bodyHtml = "";var tcHtml = "";var oriHtmlUrl = "";var userAgent =navigator.userAgent.toLowerCase();var nowTime = newDate().getTime();functioncreateXHR() {if(window.XMLHttpRequest) {return newXMLHt...
jquer之ajaxQueue简单实现代码
01-19
(function($) { $.ajaxQueue = { // 管理ajax请求的队列 requests: new Array(), // 把待发送的ajax请求加入队列 offer: function(options) { var _self = this, // 对complete,beforeSend方法进行“劫持”,加入...
php+ajax登录跳转登录实现思路
12-18
- 文档中提到了其他文章,如使用jQuery配合AJAX实现登录验证、ASP.NET和jQuery的登录功能等,这些都是不同技术栈下的登录实现,但核心思路是相同的,即前后端的异步通信和登录状态的管理。 综上所述,通过PHP和...
Ajax-hook:拦截由XMLHttpRequest发出的浏览器的AJAX请求-js源码
08-11
在源网页加载之前,实现一个XMLHttpRequest的代理对象,然后覆盖全局的XMLHttpRequest,这样一但上层调用 new XMLHttpRequest这样的代码时,其实创建的是Ajax-hook的代理对象实例
网站劫持 网站(域名)被劫持怎么检测 遇到网站恶意跳转不要慌(干货)
jyhhh的博客
11-06 3642
首先,以开元浏览器安全检测为例,我们打开网站监控平台。 1、输入对方域名 2、提交检测,得到检测结果 网站在线检测地址:网站监控 3、经初步判断,该网站劫持(部分节点显示最终打开网站的域名和网站标题已经被恶意篡改) 4、我们通过浏览器打开此网站,发现此网站最终恶意跳转至博彩页面。 5、网站安全问题防不胜防,还是得先打好预防针,随时检查。以下我提供24小时网站监控的使用办法: 5-1:点击监控后台—新增域名—保存 5-2:点击定时监控 5-3:定时监控设置(免费的每天只能设置两个时间)保存后就可
JS 拦截全局ajax请求实例解析
10-21
主要介绍了JS 拦截全局ajax请求实例解析的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
WEB安全:网站域名被劫持的原因分析和应对方法
iteye_10868的博客
04-06 1294
我们都知道在互联网上安全问题是一直存在的,比较常见的有DDO S攻击、域名劫持、木马控制主机、网页篡改、网络仿冒等,这这些当中域名劫持对于网站造成的影响和危害算是最大的。搜索引擎是我们日常进行网络信息检索的一个重要的工具,大家只需要输入关键词就可以检索到需要的信息了,这些信息其实都是搜索引擎对于网站的一个快照,而快照本身其实就存在安全问题,因此我们会发现有些网站的快照上面网站标题和描述其实和网站...
(五)通过谷歌插件实现Ajax劫持
chantor7的博客
05-05 1578
(五)通过谷歌插件实现Ajax劫持 ​ 通过Selenium和代理已经可以很顺畅地拿到网页页面上可以看到的内容了。某些网站采用了Ajax技术,就我遇到的一个问题来说吧,在爬某网站的某个主页面的时候,它使用Ajax动态更新翻页内容,URL并没有变,这时候如果直接按URL发请求过去请求到的始终都是第一页的信息(如果有大神看见拜托指点一下),加上我发现它其实还有很多有用的信息并没有在页面直接显示,所以就有了能不能不通过页面直接把信息下载下来的想法。 ​ 下面是我参考一些资料,写的一个例子,具体实现的是获取名字
百度js 检测输入法_网站劫持监控,网站劫持监控工具的检测方法
weixin_39884100的博客
11-19 255
  前两天在网上发现了iis7网站监控,这个真的是一款非常好用的网站监控工具,亲自检测了一下自己的网站有没有异常。  下面我把我的检测结果分享给大家看一看:  1、进入iis7站长之家,然后到iis7网站监控页面,就输入了自己的网站域名:  2、这里我选择了中度检测进行检测:  3、点击了“提交检测”,然后跳出来检测统计数据:  4、想要查看详细的检测数据情况,点击右上角的“关掉统计”就行了:  ...
什么是劫持检查,劫持检测意义是什么
a38417的博客
02-23 396
劫持检测,简单来说,就是对网站流量进行实时监控和分析,以识别并防范潜在的劫持行为。网站劫持通常指的是黑客通过非法手段,将原本属于某个网站的流量重定向到其他恶意网站或页面,从而达到非法获利或破坏网站声誉的目的。劫持检测,作为保障网络安全的重要手段,对于识别和预防网站劫持行为具有至关重要的作用和意义。预防潜在风险:劫持检测能够实时监测网站流量,一旦发现异常流量或可疑行为,就能立即发出警告,提醒网站管理员及时采取措施,从而预防潜在的安全风险。维护网站声誉:网站劫持不仅会导致用户流失,还会损害网站的声誉和形象。
ajax获取html乱码,ajax获取数据中文乱码问题最简单的完美解决方案
weixin_42504785的博客
06-09 590
ajax获取数据中文乱码问题最简单的完美解决方案使用scriptCharset即可解决问题,用contentType就不一定可以了。复制代码 代码如下:$.ajax({url: testUrl,dataType: 'jsonp',type: 'post',scriptCharset: 'utf-8'});上面的解决方案是最完美的,另外也附上网上的解决方式吧,是用contentType来处理的复制代...
ajax全局加密,ajax 全局拦载处理,可加密、过滤、筛选、sql防注入处理
weixin_39531037的博客
08-05 890
//此方法放在公用的js里面即可。如此:所有的ajax请求都会通过此$.ajaxSetup({contentType: "application/x-www-form-urlencoded;charset=utf-8",beforeSend: function() { //发送前执行的函数try {var params = arguments[1].data; //arguments是一个两个值的...
怎么检查域名是否被劫持
最新发布
恒创科技Henghost
05-27 763
如果你怀疑自己的域名被劫持了,应立即采取措施解决这个问题,比如联系你的域名注册商、主机提供商或专业的网络安全专家进行帮助。同时,确保定期更新和维护你的域名和DNS设置,使用强密码,并启用双因素认证等安全措施来预防未来的域名劫持
微信小程序订餐系统开发:Python Flask与Ajax技术实现
- 系统中安全措施的实现,例如如何在服务器端存储会话、防止会话劫持等。 最后,需要注意的是,由于微信小程序要求所有的服务器接口必须使用HTTPS协议,因此在开发过程中,确保服务器支持HTTPS是必要的步骤。 通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值