这是我第一次使用stackoverflow,我担心我的问题首先会有很多问题。我正在看这个帖子:Javascript in the address bar - is this malicious? 正如你将看到的那样,SLaks非常友好地对javascript进行了反混淆,并将我们看作自动Facebook邀请代码背后的Javascript。
由于我对javascript很新,我想知道,需要哪些其他组件才能使这段代码正常工作?你当然有那里的功能,它们被混淆的javascript调用,但究竟是怎么回事?
是否可以使用可用信息在我自己的页面上复制此内容,或者我缺少此脚本还有更多内容吗?我愿意为那些可以为我编制解决方案的人提供经济援助。
提前谢谢。
答案 0 :(得分:0)
周围有很多Javascript Obfuscators。通过在地址栏中执行javascript,您执行的是与您当前访问的网站相同的上下文或“same origin”。因此,开发XSS的规则是相同的。我建议研究影响MySpace的Sammy Worm等XSS有效负载。简而言之,您可以使用XmlHttpRequest强制浏览器进行出价,或者您可以通过窃取“document.cookie”来劫持会话。