浅谈javascript函数劫持.docVIP

浅谈javascript函数劫持 一、概述 javascript函数劫持，也就是老外提到的javascript hijacking技术。最早还是和剑心同学讨论问题时偶然看到的一段代码，大概这样写的： window.alert = function(s) {}; 觉得这种用法很巧妙新颖，和API Hook异曲同工，索性称之为javascript function hook，也就是函数劫持。通过替换js函数的实现来达到劫持这个函数调用的目的，一个完整的hook alert函数例子如下： !--1.htm-- script type=text/javascript !-- var _alert = alert; window.alert = function(s) { if (confirm(是否要弹框框，内容是\ + s + \？)) { _alert(s); } } //-- /script html body input type=button onclick=javascript: alert(Hello World!) value=test / /body /html 搞过API Hook的同学们看到这个代码一定会心的一笑，先保存原函数实现，然后替换为我们自己的函数实现，添加我们自己的处理逻辑后最终再调用原来的函数实现，这样这个alert函数就被我们劫持了。原理非常简单，下面举些典型的应用来看看我们能利用它来做些什么。 二、应用举例 1. 实现一个简易的javascript debugger，这里说是debugger比较标题党，其实只是有点类似于debugger的功能，主要利用js函数劫持来实现函数的break point，来看看个简单的例子： script type=text/javascript !-- var _eval = eval; eval = function(s) { if (confirm(eval被调用\n\n调用函数\n + eval.caller + \n\n调用参数\n + s)) { _eval(s); } } //-- /script html head /head body script type=text/javascript !-- function test() { var a = alert(1); eval(a); } function t() { test(); } t(); //-- /script /body /html 通过js函数劫持中断函数执行，并显示参数和函数调用者代码，来看一个完整例子的效果： help debug commands: bp function name - set a breakpoint on a function, e.g. bp window.alert. bl - list all breakpoints. bc breakpoint number - remove a breakpoint by specified number, e.g. bc 0. help - help information. bp window.alert * breakpoint on function window.alert added successfully. bl * 1 breakpoints: 0 - window.alert bc 0 * breakpoint on function window.alert deleted successfully. 这里演示设置断点，察看断点和删除断点，完整代码在本文附录[1]给出。 2. 设置陷阱实时捕捉跨站测试者，搞跨站的人总习惯用alert来确认是否存在跨站，如果你要监控是否有人在测试你的网站xss的话，可以在你要监控的页面里hook alert函数，记录alert调用情况： script type=text/javascript !-- function log(s) { var img = new Image(); img.style.width = img.style.height = 0; img.src = /log.php?caller= + encodeURIComponent(s); } var _alert = alert; window.alert = function(s) { log(alert.caller); _alert(s); } //-- /script 当然，你这个函数要加到页面的最开始，而且还要比较隐蔽一些，赫赫，你甚至可以使alert不