浏览 1617 次
锁定老帖子 主题:骗过浏览器客户端校验
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
---|---|
作者 | 正文 |
发表时间:2009-03-19
通常情况下,我们打开网页,注册之类的,都会提示我们,输入用户名,用户名不能为空, 以及密码必须大于几位,不能输入中文之类的东西。 实在是不爽啊! 怎么样绕过这些东西呢? 比如下面网页的代码: ------------------------------------------------------------------------- <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> <title>建议网---建议一下,你就知道!</title> </head> <script language="javaScript"> function advidea(){ alert("中国建议网,建议一下,我就知道!"); } </script> <a href="http://www.advidea.cn" title="建议一下,你就知道" onclick="advidea();">点击试一下!</a> </html> ------------------------------------------------------------------------- 然后我们在地址栏里面输入如下代码: ------------------------------------------------------------------------- javascript:function advidea(){alert("建议网,建议一下,我不知道!");} ------------------------------------------------------------------------- 再点击链接看一下效果。 怎么样?是不是点击链接后的advidea() 方法变成了我们自己定义的内容了?弹出: 建议网,建议一下,我不知道! 大家再试想一下,也就是说,我们把原来的验证方法给替换成了我们自己的方法! 再拿网站开开刀!让世界更爽一点! 打开 建议网:http://www.advidea.cn 首页中的搜索框的地方:直接点搜索按钮,切,小样给我们提示: 请输入内容 我就不想输入内容,你能耐我何? 查看网页源代码,然后搜索: 请输入内容 字符串 会看到有这样一段代码: ----------------------------------------- function checkWords(){ var word=document.getElementById("word").value; if(word==""|| word=="请输入内容"){ document.getElementById("word").value="请输入内容"; return false; }else{ document.getElementById("f").submit(); return true; } } ------------------------------------------ 同样的方法,我们在地址栏输入: ----------------------------------------------- javascript:function checkWords(){ document.getElementById("f").submit(); return true;} ----------------------------------------------- 然后把搜索框的值清空,直接点搜索!小样,这回我们搜索成功了! 哇卡卡!!! 用这个方法,可以避过浏览器的一切验证。爽吧?也就是说JS校验根本就不管用的。JS骗骗小孩还行的! 所以有句话叫:不要相信客户端传过来的数据! 好了,各位,上面是拿我自己的网站试了试刀,各位可以去其它网站去磨磨小刀哈! 哈哈! 建议网 http://www.advidea.cn 原创, 转载请注明出处!谢谢! 声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
|
返回顶楼 | |