V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Aidea
V2EX  ›  问与答

JavaScript 也能攻击吗?

  •  
  •   Aidea · 2017-01-05 10:59:05 +08:00 · 1915 次点击
    这是一个创建于 2884 天前的主题,其中的信息可能已经有所发展或是发生改变。

    又来麻烦大家,问个网站安全的问题。

    目前站点里有段 js 代码,实现的功能是在页面插入 iframe 并打开网站 a (网址从数据库读取)。

    但是偶尔会出现一种情况,就是这个 iframe 会打开网站 b (竞争对手的),刷新一下后正常,不停刷新却也无法复现问题。

    每次出现情况的时间间隔是几天到几十天不等,当然这是自己遇到的情况,其他用户就不清楚了。

    根据现象分析,也不像是单独加入的代码,而是篡改了我从数据库读取的数据,不然应该打开两个 iframe 才对。时间间隔又这么长,难道只是偶尔心血来潮恶心我一下?

    所以,这算不算是 js 实现的攻击?如何实现及预防呢?或者是其他攻击手段?

    第 1 条附言  ·  2017-01-05 11:58:32 +08:00
    现在想想,又觉得不关 js 的事。

    本来网址是通过 asp 从数据库获取存为变量的,问题应该就是这个变量被篡改了。

    但是是在变量赋值前还是赋值后被改就不知道了,这个好像是关键。
    7 条回复    2017-01-05 21:25:20 +08:00
    domty
        1
    domty  
       2017-01-05 11:21:52 +08:00
    用的 http 还是 https ?
    抓包看看是不是 dns 或者 http 被运营商劫持了?
    Aidea
        2
    Aidea  
    OP
       2017-01-05 11:25:09 +08:00
    @domty http 的,应该不是运营商吧,不然也不会打开竞争对手的网站啊
    zzNucker
        3
    zzNucker  
       2017-01-05 11:29:26 +08:00
    网站呢
    domty
        4
    domty  
       2017-01-05 11:41:19 +08:00
    @Aidea
    所以才要抓包看一下你看到的竞争对手的网址内容是哪里的,是你自己去访问的还是你访问另外一个地址之后跳转的或者其他什么原因。
    Aidea
        5
    Aidea  
    OP
       2017-01-05 11:53:44 +08:00
    @domty 问题无法复现,检索全站代码也没相关内容,功能上是:我打开网站首页就自动弹出该 iframe ,不需要其他操作。现在只是该 iframe 的 src 变了,没有其他问题,而 src 是通过 asp 从数据库获取存为变量的。
    xarrow
        6
    xarrow  
       2017-01-05 13:02:47 +08:00
    ![img]( )
    Khlieb
        7
    Khlieb  
       2017-01-05 21:25:20 +08:00 via Android
    XSS
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3066 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:51 · PVG 22:51 · LAX 06:51 · JFK 09:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.