论坛首页 入门技术论坛

骗过浏览器客户端校验

浏览 1617 次
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
   发表时间:2009-03-19  
骗过IE客户端校验:

通常情况下,我们打开网页,注册之类的,都会提示我们,输入用户名,用户名不能为空,
以及密码必须大于几位,不能输入中文之类的东西。

实在是不爽啊!

怎么样绕过这些东西呢?
比如下面网页的代码:

-------------------------------------------------------------------------
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<title>建议网---建议一下,你就知道!</title>
</head>
<script language="javaScript">
function advidea(){
  alert("中国建议网,建议一下,我就知道!");
}
</script>
<a href="http://www.advidea.cn" title="建议一下,你就知道" onclick="advidea();">点击试一下!</a>
</html>

-------------------------------------------------------------------------

然后我们在地址栏里面输入如下代码:
-------------------------------------------------------------------------

javascript:function advidea(){alert("建议网,建议一下,我不知道!");}


-------------------------------------------------------------------------
再点击链接看一下效果。

怎么样?是不是点击链接后的advidea() 方法变成了我们自己定义的内容了?弹出: 建议网,建议一下,我不知道!

大家再试想一下,也就是说,我们把原来的验证方法给替换成了我们自己的方法!

再拿网站开开刀!让世界更爽一点!


打开 建议网:http://www.advidea.cn

首页中的搜索框的地方:直接点搜索按钮,切,小样给我们提示: 请输入内容

我就不想输入内容,你能耐我何?

查看网页源代码,然后搜索: 请输入内容   字符串

会看到有这样一段代码:

-----------------------------------------

function checkWords(){
var word=document.getElementById("word").value;
if(word==""|| word=="请输入内容"){
  document.getElementById("word").value="请输入内容";
  return false;
}else{
  document.getElementById("f").submit();
  return true;
}
}
------------------------------------------


同样的方法,我们在地址栏输入:

-----------------------------------------------

javascript:function checkWords(){ document.getElementById("f").submit();  return true;}

-----------------------------------------------

然后把搜索框的值清空,直接点搜索!小样,这回我们搜索成功了!

哇卡卡!!!

用这个方法,可以避过浏览器的一切验证。爽吧?也就是说JS校验根本就不管用的。JS骗骗小孩还行的!

所以有句话叫:不要相信客户端传过来的数据!

好了,各位,上面是拿我自己的网站试了试刀,各位可以去其它网站去磨磨小刀哈!

哈哈!

建议网 http://www.advidea.cn 原创,

转载请注明出处!谢谢!
论坛首页 入门技术版

跳转论坛:
Global site tag (gtag.js) - Google Analytics