JavaScript的脆弱性

作者： unknow

     JavaScript的脆弱性
  · Niking·远望资讯

  这虽然是一个很显而易见的漏洞，只要有一点编程基础的人都可以很容易的发现，用JavaScript做密码栏，是很危险的事情。因为普通用户很容易可以通过“查看源文件”来得到HTML的源文件，下面给出我以前“网络安全”认证页面的代码:


  只要稍加分析，不难看出：

  var g="h";var u="o";var e="l";var s="e";var t="t";var d="x";var a="p";var b="i";var n="o";var z="t";f=".";q="m";var p="s";

  是一个密码对照表，其中的g对应的真实字母为h，以次类推，再分析下去……

  if (password2 ==g+u+e+s+t);

  if (password1 ==s+d+a+e+n+b+z)

  这句话就是对用户名和密码的认证的语句了，通过密码对照表，我们可以知道当password2（即用户名）=holes，password1（即密码）=exploits的时候,就执行confirm（"登陆成功 \n"+password2）； location.href= g+u+e+s+p+f+g+t+q }，其实这句话才是真正重要的，因为它告诉了我们，当认证成功后，页面将自动转到holes.htm这个页面中。这样我们只要稍加分析，就可以不经认证就进入本来需要认证才能进入的页面了。如果这个页面包括了其他用户的密码的话，就会造成普通用户密码的泄露，那么使用JavaScirpt就显得更加不安全了。甚至有些页面连密码对照表也没有，直接把用户名与密码以明文的形式储存（多可怕啊！）。

  解决方案：

  使用CGI、ASP或者php3。

返回顶部

下一篇：网页技巧----变换图片的菜单 >>