Javascript 是一种由Netscape的LiveScript发展而来的原型化继承的基于对象的动态类型的区分大小写的客户端脚本语言,主要目的是为了解决服务器端语言,比如Perl,遗留的速度问题,为客户提供更流畅的浏览效果。

因为服务器端脚本可以轻易伪造referer,所以各大统计站点cnzz,百度统计,ga,51la等都是通过js来判断来路,不过现在有个方法js的referer也可以伪造了。

WinHttp.WinHttpRequest.5.1 是 msxml 4.0 的底层对象,也就是说 XMLHTTP/ServerXMLHTTP 也是在它的基础上封装而来。用 WinHttpRequest 发的请求,Fiddler 监测不到。

Google一下发现它居然用可以成功伪造所有 http 请求的 header 信息!下面的代码通过伪造 referer 的值,假装从百度首页提交一个表单到指定的 url 去:

var url = "http://www.yourtarget.com";

var param = "name=david&age=30";

var obj = new ActiveXObject("WinHttp.WinHttpRequest.5.1");

obj.Open("POST", url, false);

obj.Option(4) = 13056;

obj.Option(6) = false; //false可以不自动跳转,截取服务端返回的302状态。

obj.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

obj.setRequestHeader("Referer", "http://www.baidu.com");

obj.Send(param);

WScript.Echo(obj.responseText);

既然可以用它来伪造所有 http 请求的 header,那 Cookies、Sessionid 自然也就可以得到并传递了。下面是实战代码,用命令行登录博客园,共三次请求,第一次请求获取表单的 VIEWSTATE 和 EVENTVALIDATION,第二次带账户登录,第三次带Cookie访问其首页:

//封装成远程访问的函数

function RemoteCall(method, url, param, header){

    var obj = new ActiveXObject("WinHttp.WinHttpRequest.5.1");

    obj.Open(method||"GET", url, false);

    obj.Option(4) = 13056;

    obj.Option(6) = false;

    if(method=="POST"){

        obj.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

    }

    if(header){

        for(var key in header){

            if(key=="Cookie"){//根据 MSDN 的建议,设置Cookie前,先设置一个无用的值

                obj.setRequestHeader("Cookie", "string");

            }

            obj.setRequestHeader(key, header[key]);

        }

    }

    obj.Send(param);

    return obj;

}

//第一次远程访问博客园的登录入口

var url = "http://passport.cnblogs.com/login.aspx";

var objFirst = RemoteCall("GET", url, null);  

//取得 viewstate 与 eventvalidation

var viewstate = objFirst.responseText.match(/id="__VIEWSTATE" value="(.*?)" \/>/)[1];

var eventvalidation = objFirst.responseText.match(/id="__EVENTVALIDATION" value="(.*?)" \/>/)[1];  

//输入自己的账户与密码

var username = "";

var password = "";

var param = ""

+ "__VIEWSTATE="+encodeURIComponent(viewstate)

+ "&__EVENTVALIDATION="+encodeURIComponent(eventvalidation)

+ "&tbUserName="+username

+ "&tbPassword="+password

+ "&btnLogin="+encodeURIComponent("登  录");  

var objSecond = RemoteCall("POST", url, param);  

//登录成功后服务器执行 Response.Redirect 跳转,即向客户端发送了 302 状态代码

WScript.Echo(objSecond.status); //302即登录成功, 如果是200,则登录失败,页面没有跳转  

//带上登录成功后的cookie,再次访问其首页

var json = {"Cookie": objSecond.getResponseHeader("Set-Cookie")};

var objThird = RemoteCall("GET", "http://www.cnblogs.com", null, json);

fso = this.fso || new ActiveXObject("Scripting.FileSystemObject");

var file = "c:/output.txt", newTxt = 0;

newTxt = fso.OpenTextFile(file, 2, true);

newTxt.WriteLine(objThird.responseText);

//WScript.Echo(objThird.responseText);

上面的代码其实已经有一定恶意,只为证明使用 WinHttpRequest 确实可以模拟浏览器发送请求,服务端也无法区别是从浏览器来的,还是从命令行来的。

结论:从客户端提交来的任何数据都不可信,因为发送的 http 数据包不但表单值可以修改,连数据包的 header 都可以随意修改。同时也说明,使用 VIEWSTATE 对表单的安全性无任何用处。

文章来自:http://www.phperz.com/article/14/0702/2917.html

JavaScript 伪造 Referer 来路方法的更多相关文章

  1. C#:WebBrowser中伪造referer,为何对流量统计器无效?

    使用webbrowser伪造referer的方法:webBrowser1.Navigate(url, "_self", null, "Referer:http://www ...

  2. PHP伪造referer突破防盗链

    php伪造referer实例代码,主要用于一些突破防盗链. 可以从这个例子中发展出很多的应用.比如隐藏真实的URL地址……嘿嘿,具体的就自己分析去吧 这里新建一个文件file.php.后面的参数就是需 ...

  3. Android和JavaScript相互调用的方法

    转载地址:http://www.jb51.net/article/77206.htm 这篇文章主要介绍了Android和JavaScript相互调用的方法,实例分析了Android的WebView执行 ...

  4. JavaScript document属性和方法

    JavaScript document属性和方法 --------------------------------------------属性: 1. Attributes     存储节点的属性列表 ...

  5. 将JavaScript 插入网页的方法

    将JavaScript 插入网页的方法 使用Javascript代码. 插入JavaScript 与在网页中插入CSS的方式相似.使用下面的代码可以在网页中插入JavaScript: ... 其中的. ...

  6. JavaScript常用对象的方法和属性

    ---恢复内容开始--- 本文将简单介绍JavaScript中一些常用对象的属性和方法,以及几个有用的系统函数. 一.串方法 JavaScript有强大的串处理功能,有了这些串方法,才能编写出丰富多彩 ...

  7. js 判断数组包含某值的方法 和 javascript数组扩展indexOf()方法

    var  questionId = []; var anSwerIdValue = []; ////javascript数组扩展indexOf()方法 Array.prototype.indexOf ...

  8. Javascript调用C#后台方法及JSon解析

    Javascript调用C#后台方法及JSon解析   如何使用Ajax 调用C# 后台方法. 本文目录 如何使用Ajax 调用C# 后台方法. 1.后台(.cs)测试方法 2.前台调用(javasc ...

  9. javascript中的splice方法介绍&示例

    javascript 中的 splice 方法很强大,它可以用于插入.删除或替换数组的元素. 下面来一一介绍! 删除:用于删除元素,两个参数,第一个参数(要删除第一项的位置),第二个参数(要删除的项数 ...

随机推荐

  1. 黑帽么metasploit

    .Metasploit框架介绍Metasploit升级更新 Metasploit端口扫描 Metasploit SMB 获取系统信息 Metasploit 服务识别 Metasploit 密码嗅探 M ...

  2. oracle之nomount、mount、open三种状态

    1.先来看下外国网站上的资料怎么说 Nomount – The database instance has been started (processes and memory structures ...

  3. SQL 范式(转载)

    装载于"http://www.cnblogs.com/KissKnife/ 理论性的东西,往往容易把人人都看得懂的东西写成连鬼都看不懂,近似于主任医生开的药方.从前学范式的时候,把书中得概念 ...

  4. 淘淘商城_day05_课堂笔记

    今日大纲 学习Redis 使用Redis完成项目中缓存需求 实现商品详情页功能 缓存的需求 大广告位数据无需每次查询后台系统的接口,可以在前台系统添加缓存,提高访问首页的速度. 商品类目的数据也可以缓 ...

  5. zoj 3204 Connect them

    最小生成树,我用的是并查集+贪心的写法. #include<stdio.h> #include<string.h> #include<math.h> #includ ...

  6. PostgreSQL学习手册

    事实上之前有很长一段时间都在纠结是否有必要好好学习它,但是始终都没有一个很好的理由说服自己.甚至是直到这个项目最终决定选用PostgreSQL 时,我都没有真正意识到学习它的价值,当时只是想反正和其它 ...

  7. background-clip、background-origin、box-sizing

    background-clip:border-box(默认).padding-box.content-box background-origin:border-box.padding-box(默认). ...

  8. javascript基础(六)对象

    原文http://pij.robinqu.me/ JavaScript Objects 创建对象 对象直接量 var o = { foo : "bar" } 构造函数 var o ...

  9. emoji图像转码解码 存入数据库

    public String emojiConvert1(String str) throws UnsupportedEncodingException { String patternString = ...

  10. WEB前端组件思想【分页】

    DEMO1: 很早就想写一些功能性的组件,无奈技术有限一点一点的边工作,边学. 近日工作中用到分页功能,当然由于加快业务进度,第一选择肯定是选择插件,但是实用性来说,还是有那么一点不适合.毕竟插件是通 ...