文章正文

一个有点类似黑客的问题

类型：转载责任编辑：asp 日期：2007/03/01

我这儿有个网站，我想跳过它前台的控制，直接把数据提交到后台（当然后台没有加控制），例如：页面上有个字段，前台控制最长是10个字（控制是通过一个方法去判断的），我想通过url中直接调用方法把它执行，我以前看到过类似的方法，好象是javascript function() 方法名{} ，大概格式是这样，不知道具体怎么搞定，请高手指点。

推荐阅读

双汇软件为集团级企业打造实时供应链管理平台 [详细内容]

一周热点笔记本TOP5:迅驰II只要4999元 [详细内容]

3毫秒液晶再创新低价优派VX924狠跌300元 [详细内容]

专业供应链管理培训造就大企业青睐人才 [详细内容]

让M55拥有最酷最炫的铃声 [详细内容]

无海绵墨盒的革命性突破 [详细内容]

手机上网实现供应链管理完成订单结算 [详细内容]

网友回答:

网友：nhconch

把它的页面拷到硬盘，把js验证删掉，action改为数据提交的网址。

网友：zhenjie

浏览器别关，把原代码另外存一份，修改验证部分的代码，然后把提交地址写全,用刚才的浏览器把修改的文件打开，加入非法数据，点击提交即可。

网友：runmin

用地址栏替换掉他的验证函数就可以了。

javascript:function a(){document.all.tags("form")[0].onsubmit=""};a();

这个替换掉onsubmit事件

如果想替换函数呢
比如原来有个函数叫checkform();

javascript:function checkform(){alert("overwrited!")};

写上这句，原来的checkform就会被替换成你新写的东西。

网友：jk_10000

------------------------
回复人： emu(ston) ( ) 信誉：167 2003-06-03 10:12:00 得分:0
如果是需要登录的网站，自己开页面的时候没有session，是提交不了的。从地址栏走就没有这个问题。函数名和参数从页面原码查出来。
------------------------

自己开页面也可以领用session.

对于session，只存在一个“领用”的问题，当一个窗口可以领用session时，那么与它有血缘关系的窗口都到以领用到这个session。
就是以下这位朋友的回复。

-------------
回复人： zhenjie(zhenjie) ( ) 信誉：100 2003-06-03 13:30:00 得分:0
浏览器别关，把原代码另外存一份，修改验证部分的代码，然后把提交地址写全,用刚才的浏览器把修改的文件打开，加入非法数据，点击提交即可。
--------------

另外，的确有很多网站，由于过渡信任前台传过来数据(不只是合法性检验)，
导致安全漏洞的存在
http://jkisjk.vip.sina.com/code/security/case2.html
http://jkisjk.vip.sina.com/code/security/case3.html

站内导航：

IT热门资讯：