JavaScript injeksjon er en prosess som vi kan sette inn og bruke vår egen JavaScript-kode i en side, enten ved å skrive koden inn i adressefeltet, eller ved å finne en XSS sårbarhet på en nettside. Merk at endringer kan bare bli sett av deg, og er ikke permanent. Dette er fordi JavaScript er et "klient-side" språk.
Trinn
- 1Du må skrive inn koden i URL-adresse i vinduet. Prøv disse injeksjonene:
Merk - Hvis du bruker Firefox, må du bruke en annen måte, som eple-shift-k på en mac
- 1javascript: alert ("Hallo!");
- For å få opp et varsel boks som sier "Hei!":
- For å få opp et varsel boks som sier "Hei!":
- 2javascript: alert ("Hello"); alert ("World");
- For å få opp to varselet bokser, vil en i front si "Hei", og når du klikker OK, vil den som sier "Verden" vises:
- For å få opp to varselet bokser, vil en i front si "Hei", og når du klikker OK, vil den som sier "Verden" vises:
- 3javascript: alert (. document.forms [0] to.value = "noe")
- For å endre verdien av formen [0] til noe:
- For å endre verdien av formen [0] til noe:
- 4javascript: void (document.bgColor = "blue")
- Å endre bakgrunnsfargen til blått. Du kan sette noen andre farger i stedet for blå for å endre den til en annen farge:
- Å endre bakgrunnsfargen til blått. Du kan sette noen andre farger i stedet for blå for å endre den til en annen farge:
- 5javascript: alert ("Selve url er: \ t \ t" + location.protocol + "/ /" + location.hostname + "/" + "\ nURL-adressen er: \ t \ t" + location.href + "\ n" + "\ nHvis serveren navnene ikke stemmer overens, kan dette være en parodi.");
- Å se den virkelige serveren navnet på området du ser på. Du bør bruke den hvis du tror at du ser på en falsk nettside, eller når som helst bare for å være sikker:
- Å se den virkelige serveren navnet på området du ser på. Du bør bruke den hvis du tror at du ser på en falsk nettside, eller når som helst bare for å være sikker:
- 6javascript: R = 0; x1 = 0,1, y1 = 0,05; x2 = 0,25, y2 = 0,24; x3 = 1,6; y3 = 0,24; x4 = 300; Y4 = 200; x5 = 300; Y5 = 200; DI = document.images, DIL = DI.length, funksjon A () {for (i = 0; i-DIL, i + +) {DIS = DI [i] stil;. DIS.position = 'absolutt'; DIS. venstre = Math.sin (R * x1 + i * x2 + x3) * x4 + x5, DIS.top = Math.cos (R * y1 + i * y2 + y3) * Y4 + Y5} R + +} setInterval ('A () ', 5); hulrom (0);
- For å gjøre bildene fly rundt. Sørg for å finne et nettsted som Google Images, så det er flere bilder (Hvis du trykker på refresh-knappen, går det veldig fort kan bare arbeide med MAC!):
- For å gjøre bildene fly rundt. Sørg for å finne et nettsted som Google Images, så det er flere bilder (Hvis du trykker på refresh-knappen, går det veldig fort kan bare arbeide med MAC!):
- 7javascript: R = 0; x1 = 0,1, y1 = 0,05; x2 = 0,25, y2 = 0,24; x3 = 1,6; y3 = 0,24; x4 = 300; Y4 = 200; x 5 = 300, Y5 = 200; DI = document.images, DIL = DI.length, funksjon A () {for (i = 0; i-DIL, i + +) {DIS = DI [i] stil;. DIS.position = 'absolutt'; DIS. venstre = Math.cos (R * x1 + i * x1 + x2) * x4 + x5, DIS.top = Math.cos (R * y1 + i * y2 + y3) * Y4 + Y5} R + +} setInterval ('A () ', 5); hulrom (0);
- Å spinne sirkelen av bilder. Det trakter bildene i en slange-lignende bevegelse:
- Å spinne sirkelen av bilder. Det trakter bildene i en slange-lignende bevegelse:
- 8javascript: document.body.contentEditable = 'true'; document.designMode = 'on'; void0
- Å flytte ting rundt på nettsiden:
- Å flytte ting rundt på nettsiden:
Tips
- Bare du kan se endringene.
- Du kan bare endre bakgrunnen på sider som ikke fra før har en CSS bakgrunn.
- Endringene er ikke permanent. Det er en statisk endring som vil ikke påvirke noen server informasjon.
- Hvis du bruker en nettleser med et adressefelt som dobler som en søkefeltet (f.eks Google Chrome), sørg for at når du skriver inn i JavaScript-koden, velger du på adresselinjen for behandling av koden, ikke søkefunksjonen.