专业的社区
beplay体育能用吗Web消息设置
最近更新时间:2022年7月1日
阅读时间:2分钟
当您启用术后拦截选项,您可以将以下设置切换为微调DOM Invader的行为。默认情况下,所有这些选项将启用。
后词起源欺骗
启用此设置后,DOM Invader会自动替换具有假原点的任何消息的原点,这些消息以true Origin的域名开始和结束。通过这样做,DOM Invader可以自动识别依赖有缺陷的逻辑或正则表达式来验证消息来源的事件处理程序。
例如,某些网站使用beplay体育能用吗以。。开始()
或者以。。结束()
验证原点中域名的方法。使用这些技术可以轻松绕过这种验证。
笔记
如果禁用此设置,您仍然可以通过选择“欺骗起源复选框重播消息时。另外,您可以使用提供的字段手动修改原点。
金丝雀注射到被拦截的消息中
启用此设置后,DOM Invader会自动将金丝雀注入数据
页面上发送的任何消息的属性。DOM Invader确定预期数据是JSON字符串,JSON对象还是普通字符串,然后使用正确的格式注入金丝雀。
查看消息详细信息时,您可以使用节目在页面发送的原始数据和包含自动注入的原始数据之间切换。
具有重复值的过滤消息
启用此设置后,DOM Invader组相同的消息在一起以减少噪声。在某些情况下,您可能需要禁用此设置,以便您可以看到每个消息。例如,您可能需要查看单个消息以确保它们被发送。
生成自动消息
启用此设置后,DOM Invader会生成并将其自己的消息发送给该页面上标识的任何消息事件侦听器。这在您要测试潜在脆弱的事件处理程序但无法通过正常的页面进行交互来触发消息事件的情况下很有用。
DOM Invader试图推断有关每个事件处理程序所期望的数据结构的信息。然后,它使用此信息来生成并发送合适的消息。
根据侦听器处理每条消息的方式,Dom Invader能够生成量身定制的后续消息,这些消息是为了达到其他代码路径的量,这可能会导致更危险的水槽。
笔记
您可以判断出生成了哪些消息,因为它们在该消息上没有数字ID消息看法。