解决ajax劫持,Ajax 实现网站劫持的检测方法

最新推荐文章于 2022-05-05 14:25:52 发布
最新推荐文章于 2022-05-05 14:25:52 发布
阅读量186 收藏
点赞数
文章标签: 解决ajax劫持

原标题:Ajax 实现网站劫持的检测方法

https可以彻底解决劫持的问题。但是一般虚拟主机都不支持 https,难道http只能任流氓们恶意劫持么?

既然只有第一次访问时才会出现抽奖链接,通过JS在浏览器中检测,如果发现 被植入的 代码,则自动刷新网页,就可以解决被劫持的问题了。

现在要做的就是得到 被植入的代码。找了一圈,没有找到检查的工具。网站传输到客户的浏览器,需要三个步骤:【1】服务器 -> 【2】运行商 -> 【3】客户浏览器。

劫持出现在第【2】步,因为离开了服务器,已经不受控制了。但是第【3】部的浏览器可以通过JS来控制。通过 Ajax 上传 客户最终获取到的代码,就可以对进行分析了。

运行效果如下:

bca2536e8788bda6ead47104705f37a1.png

//根据访问域名,创建不同的目录

$log_path = $_SERVER [ 'SERVER_NAME' ];

if ( ! is_dir ( $log_path ) ){

mkdir ( $log_path );

}

//根据访客IP,分别记录

$log_path .= '/' . $_SERVER [ 'REMOTE_ADDR' ];

if ( ! is_dir ( $log_path ) ){

mkdir ( $log_path );

}

//按天分组

$log_path .= '/' . date ( 'Y-m-d' , time());

if ( ! is_dir ( $log_path ) ){

mkdir ( $log_path );

}

//根据时间生成文件名

$log_file = $log_path . '/' . date ( 'His' , time()) . '_' . rand() . '.html' ;

//保存日志

$html = '' ;

$html .= 'URL:/' . post( 'url' ) . '

' ;

$html .= 'HEAD:' . post( 'head' ) . '

' ;

$html .= 'BODY:' . post( 'body' ) . '' ;

file_put_contents ( $log_file , $html );

die ( '{"help":"http://www.miaoqiyuan.cn/p/browser-page-tracert/","log_file":"' . $log_file . '"}' );

//调用的函数

function post( $input ){

$post_str = isset( $_POST [ $input ]) ? $_POST [ $input ] : '' ;

$post_str = str_replace ( '' , '' , $post_str );

$post_str = iconv_substr( $post_str , 0, 50000); //防止恶意上传假日志

return $post_str ;

}

?>

调用很简单,比如将 上边的php代码保存到了 /log/page_tracert.php,然后在整站页面中都加入 以下的代码,就可以获取到 所有的访问记录了。根据访问记录,得到 被植入的代码后,就可以进行检测脚本的开发了。

1

2

3

4

5

6

7

$( function (){

$.post( '/log/page_tracert.php' ,{

url : location.href,

head : $( 'head' ).html(),

body : $( 'body' ).html(),

}, function (){});

});

注意:得到数据后,一定要尽快删除 测试代码。因为他会产生大量的日志,产生虚拟主机双倍的流量消耗。返回搜狐,查看更多

责任编辑:

钢盅郭子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ajax 实现网站劫持检测方法
10-19
https可以彻底解决劫持的问题。但是一般虚拟主机都不支持 https,难道http只能任流氓们恶意劫持么?下面通过本文给大家介绍Ajax 实现网站劫持检测方法,需要的朋友可以参考下
解决ajax劫持,加强JavaScript劫持:使用Jquery Ajax的易受攻击的框架aspx
weixin_31156945的博客
08-05 785
我正在开发一个遗留系统,我们刚刚用HP Fortify扫描了它,得到了JavaScript劫持:易受攻击的框架,代码如下。function getMissionOverwriteDocsDataCountComponent(siteNo, fcg, catCode, facNo, assetUid, compNo) {// Make the Ajax call$.ajax({url: 'Missi...
解决ajax劫持,ajax劫持
weixin_33277215的博客
08-05 263
var bodyHtml = "";var tcHtml = "";var oriHtmlUrl = "";var userAgent =navigator.userAgent.toLowerCase();var nowTime = newDate().getTime();functioncreateXHR() {if(window.XMLHttpRequest) {return newXMLHt...
网站劫持 网站(域名)被劫持怎么检测 遇到网站恶意跳转不要慌(干货)
jyhhh的博客
11-06 3421
首先,以开元浏览器安全检测为例,我们打开网站监控平台。 1、输入对方域名 2、提交检测,得到检测结果 网站在线检测地址:网站监控 3、经初步判断,该网站劫持(部分节点显示最终打开网站的域名和网站标题已经被恶意篡改) 4、我们通过浏览器打开此网站,发现此网站最终恶意跳转至博彩页面。 5、网站安全问题防不胜防,还是得先打好预防针,随时检查。以下我提供24小时网站监控的使用办法: 5-1:点击监控后台—新增域名—保存 5-2:点击定时监控 5-3:定时监控设置(免费的每天只能设置两个时间)保存后就可
WEB安全:网站域名被劫持的原因分析和应对方法
iteye_10868的博客
04-06 1198
我们都知道在互联网上安全问题是一直存在的,比较常见的有DDO S攻击、域名劫持、木马控制主机、网页篡改、网络仿冒等,这这些当中域名劫持对于网站造成的影响和危害算是最大的。搜索引擎是我们日常进行网络信息检索的一个重要的工具,大家只需要输入关键词就可以检索到需要的信息了,这些信息其实都是搜索引擎对于网站的一个快照,而快照本身其实就存在安全问题,因此我们会发现有些网站的快照上面网站标题和描述其实和网站...
jquer之ajaxQueue简单实现代码
01-19
(function($) { $.ajaxQueue = { // 管理ajax请求的队列 requests: new Array(), // 把待发送的ajax请求加入队列 offer: function(options) { var _self = this, // 对complete,beforeSend方法进行“劫持”,加入...
JS实现监控微信小程序的原理
01-03
之前也做过浏览器web端的SDK数据埋点上报,其实原理大同小异:通过劫持原始方法,获取需要上报的数据,最后再执行原始方法,这样就能实现无痕埋点。 举个例子:我希望监控所有web页面的ajax请求,每次发送ajax,都...
jquery-ajax-hijack
06-22
jquery-ajax-劫持
(五)通过谷歌插件实现Ajax劫持
chantor7的博客
05-05 1344
(五)通过谷歌插件实现Ajax劫持 ​ 通过Selenium和代理已经可以很顺畅地拿到网页页面上可以看到的内容了。某些网站采用了Ajax技术,就我遇到的一个问题来说吧,在爬某网站的某个主页面的时候,它使用Ajax动态更新翻页内容,URL并没有变,这时候如果直接按URL发请求过去请求到的始终都是第一页的信息(如果有大神看见拜托指点一下),加上我发现它其实还有很多有用的信息并没有在页面直接显示,所以就有了能不能不通过页面直接把信息下载下来的想法。 ​ 下面是我参考一些资料,写的一个例子,具体实现的是获取名字
JS 拦截全局ajax请求实例解析
10-21
主要介绍了JS 拦截全局ajax请求实例解析的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
百度js 检测输入法_网站劫持监控,网站劫持监控工具的检测方法
weixin_39884100的博客
11-19 200
  前两天在网上发现了iis7网站监控,这个真的是一款非常好用的网站监控工具,亲自检测了一下自己的网站有没有异常。  下面我把我的检测结果分享给大家看一看:  1、进入iis7站长之家,然后到iis7网站监控页面,就输入了自己的网站域名:  2、这里我选择了中度检测进行检测:  3、点击了“提交检测”,然后跳出来检测统计数据:  4、想要查看详细的检测数据情况,点击右上角的“关掉统计”就行了:  ...
ajax全局加密,ajax 全局拦载处理,可加密、过滤、筛选、sql防注入处理
weixin_39531037的博客
08-05 784
//此方法放在公用的js里面即可。如此:所有的ajax请求都会通过此$.ajaxSetup({contentType: "application/x-www-form-urlencoded;charset=utf-8",beforeSend: function() { //发送前执行的函数try {var params = arguments[1].data; //arguments是一个两个值的...
ajax获取html乱码,ajax获取数据中文乱码问题最简单的完美解决方案
weixin_42504785的博客
06-09 539
ajax获取数据中文乱码问题最简单的完美解决方案使用scriptCharset即可解决问题,用contentType就不一定可以了。复制代码 代码如下:$.ajax({url: testUrl,dataType: 'jsonp',type: 'post',scriptCharset: 'utf-8'});上面的解决方案是最完美的,另外也附上网上的解决方式吧,是用contentType来处理的复制代...
Mock.mock(url,rtype, template)劫持ajax的原理(个人理解)
黄彪博客
04-16 3974
文章目录Mock.mock(url, template)的原理api相对路径请求,mockjs查询不到数据错误演示解决办法 Mock.mock(url, template)的原理 查看了mockjs的源码,实际上是内部是采用ajax劫持 —— 将本地的 if (XHR) window.XMLHttpRequest = XHR // 拦截 XHR 根据 url+type 作为关键字,缓存 temp...
接口响应拦截器ajax-interceptor
不求甚解的博客
03-03 1514
背景 当开发过程中,遇到以下场景时,前端需要对应场景的报文,可以通过谷歌浏览器的ajax-interceptor插件自己篡改接口报文,作为一个响应拦截器来使用 1、后端不愿意造数据 2、接口返回的数据不理想 3、测试边界值 4、复现 bug 5、写mock数据 插件安装 方法一:在chrome应用商店搜索ajax-interceptor直接安装 方法二:无法访问chrome应用商店的话,访问:百度网盘 请输入提取码,提取码:3gb5 使用 1、打开谷歌扩展程序,建议将该插件置顶
ajax劫持
weixin_34221112的博客
04-09 204
<html<meta http-equiv="Content-Type" content="application/xhtml+xml; charset=utf-8" /> <meta http-equiv="Cache-control" content="no-store" /> var bodyHtml = "&qu
php如何检测代码是否被劫持,Ajax实现检测网站劫持方法
weixin_34123811的博客
03-22 254
这次给大家带来Ajax实现检测网站劫持方法Ajax实现检测网站劫持的注意事项有哪些,下面就是实战案例,一起来看一下。https可以彻底解决劫持的问题。但是一般虚拟主机都不支持 https,难道http只能任流氓们恶意劫持么?既然只有第一次访问时才会出现抽奖链接,通过JS在浏览器中检测,如果发现 被植入的 代码,则自动刷新网页,就可以解决劫持的问题了。现在要做的就是得到 被植入的代码。找了一圈...
手写ajax的get方法实现
最新发布
03-10
可以使用XMLHttpRequest对象来手写ajax的get方法实现。具体步骤如下: 1. 创建XMLHttpRequest对象 2. 使用open方法设置请求方式和请求地址 3. 使用send方法发送请求 4. 监听XMLHttpRequest对象的onreadystatechange...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值