多年来,刻章办证的广告已经贴遍了大街小巷的每个角落,伪造似乎已经让人麻木了。一个偶然的机会,笔者发现,IE竟可以伪造服务器端的网页!事情原委听我慢慢道来。
通常情况下,我们会使用专门的工具来编辑网页,而网页上传到服务器上之后,就只有被动浏览的权限,更改时则需要再次对服务器端文件进行操作。而在客户端伪造某个网页,该网页的地址却是本地的,或者有些代码是脱离服务器的。不过,我们手边的IE却为我们以非常简洁的方式提供了这个功能。
实现这个功能,我们需要一个工具,一个看似跟本文没有什么关系的工具,名叫“Spy4Win(Spy for Window)”,你可以从
www.ccrun.com免费下载到,它是“一个类似MS Spy++的辅助工具,主要功能是探测和获取窗口的更多信息(窗口基本信息,样式描述及动态改变样式,识别控件来源,窗口内容的读取,窗口消息截获,可视窗口截图等)。 另外还可以从可执行文件中提取窗体可重用单元,克隆窗体/系统菜单,IE页面分析,程序代码生成,屏幕取色,进程查看等”。下载之后启动,如下图所示:
Spy4Win运行界面
该工具与本文无关的功能在此不做赘述,您可从其帮助文件中获取信息。在右上角的“附加工具”菜单中选择“分析IE页面”,打开“Analyse HTML”窗口,并拖动其上的小人图标到目标IE窗口。
“Analyse HTML”窗口
上图显示了我这里打开的Oracle Isqlplus Web版登录界面。当Spy4Win捕捉到指定的网页后,我们再点击其上的“其他”标签,在左下角有个“允许编辑网页”按钮。
“允许编辑网页”按钮
对,就是它,点击该按钮,看看你的网页出现了什么变化?哈哈!网页切换到了编辑模式!如图:
指定的页面切换到了编辑模式
接下来,把当前网页编辑成什么模样就要靠你的想象力了。我比较手拙,网页被我弄成了这样的乱糟模样。
被编辑的网页
编辑完成之后,在空白处点击鼠标右键,选择其中的“浏览视图”便可以执行修改后的网页了,如图:
哈哈,一切如我们所料,仔细看地址栏,地址根本没变,接下来的事情就不是我能掌握的了,呵呵,不要干坏事哦。
不过,不要太过得意了,我们修改的只是本地系统的缓存文件,真正服务器上的文件并没有被修改,等我们完全刷新页面(普通刷新无用)时,网页又回到了以前的情形,不过拿它来做障眼法还是很不错的哦。尤其在AJAX盛行的今天,该方法会衍生出更多别出心裁的应用呢。欢迎大家寻找其它方法。
后记:本文所属情形在Windows 2003 SP1 + IE 6.0 SP1 + FrontPage 2003环境下成功,其它系统没有测试。
766
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
