草依山的Javascript世界

一个Javascript程序猿的学习纪录剩地,不仅仅是JS,还有Linux、Mac、nodeJs、吃、玩!

淘宝宝贝详情页被修改的问题排查

有同学反馈说某页面正常展现后,鞋子由七喜变成了new balance,评价详情和成交纪录都被修改了,看上去是页面执行了js修改的,具体的详情是什么样子的呢

修改后的:

部分修改的,图不是太好截:

上利器,chrome,打开该页面,查看元素,既然修改为new balance,那相应的js里肯定有字符串’new balance’,暂时不去想它作了混淆之类的操作。

按一下esc,切换到serch,然后搜索’new balance’,果然我们找到一个js

打开这个js看看,果然是各种修改,居然还有评论之类的,改得挺逼真

那这个js是由什么加载进来的呢,我们再来搜taoyouhuiba.com,可以看到是一个htm文件里引入的

我们打开这个htm文件,找到了下面的这段:

可以看到它主动塞了一个style的闭合标签,这导致了前面style标签结束,开始它的script标签,然后引入js,js执行开始修改页面,

ht]是用来做店铺装修静态化的。可以看到这段插入的东西甚至没有做过混淆处理,对输入css的过滤有点太疏忽大意了。

文章地址: 淘宝宝贝详情页被修改的问题排查
欢迎关注我的微博与我交流:@草依山
Github上也有一些东西:[Github]
所有文章坚决抵制jb51.net的转载!
标签: javascript 28
2014-04-17

相关文章

2016-09-29 [翻译]bash的各种文件载入执行顺序
2016-05-31 phantomjs在linux下截图中文字体问题
2016-04-24 Promise的错误处理
2016-02-23 URL里的+
2016-02-11 N个数中第K大的数

文章修改纪录

加载中...
Copyright © 2013. Create By 草依山, Fork