js函数劫持与反劫持

最新推荐文章于 2022-10-19 20:02:30 发布
最新推荐文章于 2022-10-19 20:02:30 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 网络安全与黑客技术 文章标签: function 语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuhualong1314/article/details/7689010
版权

 说明 : 主要的思路就是重写JS函数, 如果学习过高级语言的朋友 就很容易理解

好上代码:

  1. 劫持

<html>
<head>
<title>js函数劫持</title>
<script type="text/javascript">

     var _alert = window.alert;
	 window.alert = function (msg)
	 {
	
		if(confirm('alert方法被调用'))
			_alert(msg);
	 }
	 
	 var _eval = eval;
	 eval= function (s)
	 {
		//log ip  send to srv
		if(confirm('eval方法被调用'))
			_eval(s);
	 }
	 
	 
	 alert('hah');
	 eval('alert(\"ev\");');

</script>

</head>
<body>


</body>
</html>


 

2.反劫持

 <html>
<head>
<title>js函数反劫持</title>
<script type="text/javascript">

	var msg="";
	 msg= eval+"\n\r";
	 var _eval = eval;
	 eval= function (s)
	 {
		//log ip  send to srv
		if(confirm('eval方法被调用'))
			_eval(s);
	 }
	 
	 msg += eval;
	 
	 document.write(msg);
	
	/*
	检查函数是否有劫持
	*/
	function checkJSHook(proc)
	{
		if(proc.toString().indexOf("[navtiv codde]")>0)
			return false;
		else
			return true;
	}
	alert(checkJSHook(eval));
</script>

</head>
<body>


</body>
</html>


为什么使用checkJSHook函数体来判断

因为内置函数和自定义函数返回数据部一样

如下:

function eval() { [native code] }   //内置函数都返回 [native code]
 
function (s) { //log ip send to srv if(confirm('eval方法被调用')) _eval(s); }


 

 

 

cnstartech
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
前端vue和js相关的面试题,初级,中级面试必问
04-20
Vue.js 是一种流行的前端框架,它的双向数据绑定是其核心特性之一。Vue 使用了数据劫持结合发布者-订阅者模式,通过 `Object.defineProperty()` 来监控数据的变化。当对象属性被读取或修改时,Vue 会自动更新视图,...
记一次奇葩的Js劫持事件
zjkyz8的博客
04-09 1万+
最近,项目突发状况,之前开发的一个手机端APP内嵌H5页面突然异常。现象是刷新页面后,有很大概率页面卡死在数据加载阶段。于是联系App开发人员,出调试包。开始调试。 开始调试后,首先发现页面加载时发送了一个奇怪的请求-http://8.525cm.com/v2/v.php?id=105,返回还是404,于是猜测被运营商DNS劫持,篡改了我们的HTML(话说运营商是联通啊啊啊,开始完全不相信,因为
黑帽SEO研究之js快照劫持代码分析
热门推荐
疯狂棒棒糖的博客
06-11 1万+
黑帽SEO研究之js快照劫持代码分析作者:疯狂棒棒糖一.前言在一次对客户给的资产做渗透测试的时候发现了有外挂bc页面的链接,心血来潮想搞清楚其原理,顺便将研究的过程分享给大家。首先,SEO分为黑帽SEO和白帽SEO:黑帽SEO通常采用搜索引擎禁止的方式优化网站,影响搜索引擎对网站排名的合理和公正性。黑帽SEO包括很多很多手法,技术含量也要求很高。比如:流量劫持、快照劫持、泛域名、泛ip、变种ip、...
JS 劫持来源网站并做指定跳转
滴水石穿
04-01 6494
JS 劫持来源网站并做指定跳转 有时候给网站做流量,免不了要做一些网站劫持JS跳转,这里贴上一段劫持来源网站的JS跳转方法,很简单 1 2 3 4 5 6 7 8 9 <script>   // 获取来源网站   varslyar = document.referrer...
js ----函数劫持 wind.close
u014749668的博客
11-16 284
window.close = function () {}; window.close = ""; var test = "function () { [native code] }"; window.QWCy_11 = window.close; var bol = QWCy_11.toString() === test ? true : false; ...
JS劫持其他函数,选择执不执行或其他操作
Boolsod的博客
10-19 405
js函数劫持
JSON.js
03-28
JSON.js 是一个JavaScript库,主要用于处理JSON(JavaScript Object Notation)数据格式。JSON是一种轻量级的数据交换格式,它基于JavaScript的一个子集,易于人阅读和编写,同时也易于机器解析和生成。在JavaScript...
JavaScript最常用的55个经典技巧
03-01
52. **CSS in JS**:将样式与组件绑定,如styled-components。 53. **PWA(渐进式Web应用)**:利用Web App Manifest和Service Worker,创建接近原生应用的体验。 54. **无障碍访问(Accessibility,A11Y)**:...
20个普通
02-15
11. **作用域劫持**:在函数或立即执行函数表达式(IIFE)中,可以创建临时作用域,防止全局变量污染。 12. **模板字符串**:ES6引入的引号(`)包围的字符串,支持嵌入表达式和多行书写。 13. **模块系统**:...
vue面试题最新.zip
最新发布
02-01
Vue.js 是一款流行的前端JavaScript框架,由尤雨溪开发,用于构建用户界面。它以其简单易学、组件化开发和高性能著称。本压缩包文件“vue面试题最新.zip”包含了一份最新的Vue.js面试题集,是准备Vue.js开发者面试的...
返回键劫持(可以无限次)
04-01
返回键劫持(可以无限次)放入网页即可正常使用,只需简单设置
深入理解Javascript劫持(JavaScript Hijacking)原理
士心的博客
07-23 3487
0x0前言 首先说明此类攻击在主流浏览器已近乎失效,此篇文章作为感想记录。 与JSONP不同,此类攻击通过<script>标签绕过同源策略,并利用hook获取返回的数据。 0x1背景 最近在看我司白盒扫描工具的知识库时,发现一个之前没见过的缺陷(Javascript劫持),出于好奇心想深入了解一下这个缺陷,但写此缺陷的资料比较少,特此写下此篇文章。 0x2原理 Javascript劫持与CSRF攻击原理非常相似,唯一不同的是,CSRF是模拟你的身份去发送请求,JavaScript Hijac
JS劫持
manyueruoque的专栏
10-07 1247
浅谈javascript函数劫持 2011-01-15 10:59:56     我来说两句       收藏  我要投稿 by luoluo on 2007-11-30 luoluonet_at_yahoo.cn http://www.ph4nt0m.org 一、概述 javascript函数劫持,也就是老外提到的javascript hijacking技术。最早还是和
js恶意脚本劫持网页怎么解决?
cainang19850211的博客
09-16 1472
  要预防JS劫持,首先要把我们网站的安全做好,买空间服务器最好是选择大的平台比如阿里云、腾讯云等,修改完网站后记得更换所有的账号密码,网站要记得时常备份,这样你的网站出现问题可以及时的覆盖还原。  先通过iis7网站监控,输入自己的域名,就可以立马看到自己是不是遭遇JS劫持了,并且查询结果都是实时的,可以利用查询结果来更好的优化我们的网站。然后按下面的步骤解决  一、首先直接输入域名打开你的网站...
Web 前端页面劫持劫持
weixin_34014555的博客
06-12 732
前几天看到一篇写js文件劫持的文章,想起15年主导做百度搜索结果页面劫持项目做得一些研究,整理成文章,跟大家分享。 常见劫持手段 按照劫持的方法不同,我将劫持分为下面两类: 跳转型劫持:用户输入地址A,但是跳转到地址B 注入型劫持:有别于跳转型型劫持,指通过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等,又分为下面三个小类: 注入js劫持:在正常页面...
JS逆向 | hook劫持检测与应对策略
qq_29570381的博客
03-01 5312
搞过某数的朋友应该知道,某数对 eval 函数劫持检测,虽然说检测与检测操作实现起来都很简单,但很多朋友还是没有遇到过,所以今天简单的提一下。就不拿 eval 函数举例了, 因为劫持检测思路适用于任何js原生函数。 正如下图所示,一个简单的油猴脚本,用于劫持 JSON.stringify 函数。 开启油猴脚本之后, 我们运行一段代码试试。 JSON.stringify 函数被hook到了,...
页面返回劫持js代码
weixin_33874713的博客
06-10 1818
isclick = false; setInterval(function () { if (isclick == false) { history.pushState("", "", "#bdf"); } else { isclick = false; } }, 500...
前端页面劫持劫持
xuyuwas的博客
10-11 3787
前端页面劫持劫持 页面劫持 使用HTTP请求请求一个网站页面的时候,网络运营商会在正常的数据流中插入精心设计的网络数据报文,让客户端(通常是浏览器)展示“错误”的数据,通常是一些弹窗,宣传性广告或者直接显示某网站的内容。 常见劫持手段 跳转型劫持: 用户输入地址A,但是跳转到地址B 为了获取流量,一些电商或者类似百度这样需要流量合作的网站都会有自己的联盟系统,通过给予一些奖励来获取导流,比...
js中的函数劫持
标子 的专栏
01-18 2601
js中的很多对象属性都是可以被用户改写的,这很容易让坏人进行属性的劫持。当一个网站存在xss漏洞的时候,我们可以注入自己的js,进行函数劫持。 var tmp = JSON.stringify; JSON.stringify = function(data) { $.ajax({ url:'http://localhost',
JavaScript基础:函数、变量与事件控制
在本资源中,主要介绍了...总结来说,这部分内容深入浅出地讲解了JavaScript的基础语法,涵盖了变量、数据类型、运算、控制结构、数组和函数等关键概念,这对于初学者理解和运用JavaScript进行网页开发具有重要意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值