早前逛论坛的时候,W3Cschool小编看到有吧主贴出一行黑客写的代码。如果你懂点程序,这行代码看起来没有多难。废话不多说,直接上代码。
据说这是BlackHat DC 2011大会上Ryan Barnett给出的一段关于XSS的示例java代码,这段代码完全合法,在绝大多数的浏览器上都可以运行,效果和alert(1)一致。
对于黑客而言,这段代码虽然很LOW,但是杀伤力还是很强的,这段代码的的好处在于不包含任何的数字或者字符,对于一些过滤器检查,完全可以逃过。举个很简单的例子,假定一个AJAX请求将返回一个只包含数字的JSON,有可能会简单判断了一下其中不含字母就直接eval了。就是因为这样,给黑客留下后门。