Javascript 是一種由Netscape的LiveScript發展而來的原型化繼承的基於對象的動態類型的區分大小寫的客戶端腳本語言,主要目的是為了解決服務器端語言,比如Perl,遺留的速度問題,為客戶提供更流暢的瀏覽效果。
因為服務器端腳本可以輕易偽造referer,所以各大統計站點cnzz,百度統計,ga,51la等都是通過js來判斷來路,不過現在有個方法js的referer也可以偽造了。
WinHttp.WinHttpRequest.5.1 是 msxml 4.0 的底層對象,也就是說 XMLHTTP/ServerXMLHTTP 也是在它的基礎上封裝而來。用 WinHttpRequest 發的請求,Fiddler 監測不到。
Google一下發現它居然用可以成功偽造所有 http 請求的 header 信息!下面的代碼通過偽造 referer 的值,假裝從百度首頁提交一個表單到指定的 url 去:
var url = "http://www.yourtarget.com";
var param = "name=david&age=30";
var obj = new ActiveXObject("WinHttp.WinHttpRequest.5.1");
obj.Open("POST", url, false);
obj.Option(4) = 13056;
obj.Option(6) = false; //false可以不自動跳轉,截取服務端返回的302狀態。
obj.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
obj.setRequestHeader("Referer", "http://www.baidu.com");
obj.Send(param);
WScript.Echo(obj.responseText);既然可以用它來偽造所有 http 請求的 header,那 Cookies、Sessionid 自然也就可以得到並傳遞了。下面是實戰代碼,用命令行登錄博客園,共三次請求,第一次請求獲取表單的 VIEWSTATE 和 EVENTVALIDATION,第二次帶賬戶登錄,第三次帶Cookie訪問其首頁:
//封裝成遠程訪問的函數
function RemoteCall(method, url, param, header){
var obj = new ActiveXObject("WinHttp.WinHttpRequest.5.1");
obj.Open(method||"GET", url, false);
obj.Option(4) = 13056;
obj.Option(6) = false;
if(method=="POST"){
obj.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
}
if(header){
for(var key in header){
if(key=="Cookie"){//根據 MSDN 的建議,設置Cookie前,先設置一個無用的值
obj.setRequestHeader("Cookie", "string");
}
obj.setRequestHeader(key, header[key]);
}
}
obj.Send(param);
return obj;
}
//第一次遠程訪問博客園的登錄入口
var url = "http://passport.cnblogs.com/login.aspx";
var objFirst = RemoteCall("GET", url, null);
//取得 viewstate 與 eventvalidation
var viewstate = objFirst.responseText.match(/id="__VIEWSTATE" value="(.*?)" \/>/)[1];
var eventvalidation = objFirst.responseText.match(/id="__EVENTVALIDATION" value="(.*?)" \/>/)[1];
//輸入自己的賬戶與密碼
var username = "";
var password = "";
var param = ""
+ "__VIEWSTATE="+encodeURIComponent(viewstate)
+ "&__EVENTVALIDATION="+encodeURIComponent(eventvalidation)
+ "&tbUserName="+username
+ "&tbPassword="+password
+ "&btnLogin="+encodeURIComponent("登 錄");
var objSecond = RemoteCall("POST", url, param);
//登錄成功后服務器執行 Response.Redirect 跳轉,即向客戶端發送了 302 狀態代碼
WScript.Echo(objSecond.status); //302即登錄成功, 如果是200,則登錄失敗,頁面沒有跳轉
//帶上登錄成功后的cookie,再次訪問其首頁
var json = {"Cookie": objSecond.getResponseHeader("Set-Cookie")};
var objThird = RemoteCall("GET", "http://www.cnblogs.com", null, json);
fso = this.fso || new ActiveXObject("Scripting.FileSystemObject");
var file = "c:/output.txt", newTxt = 0;
newTxt = fso.OpenTextFile(file, 2, true);
newTxt.WriteLine(objThird.responseText);
//WScript.Echo(objThird.responseText);
上面的代碼其實已經有一定惡意,只為證明使用 WinHttpRequest 確實可以模擬瀏覽器發送請求,服務端也無法區別是從瀏覽器來的,還是從命令行來的。
結論:從客戶端提交來的任何數據都不可信,因為發送的 http 數據包不但表單值可以修改,連數據包的 header 都可以隨意修改。同時也說明,使用 VIEWSTATE 對表單的安全性無任何用處。
文章來自:http://www.phperz.com/article/14/0702/2917.html