var _alert = alert;
window.alert = function(s) {
    log(alert.caller);
    _alert(s);
}
//-->
</script>

當然，你這個函數(shù)要加到頁面的最開始，而且還要比較隱蔽一些，赫赫，你甚至可以使alert不彈框或者彈個警告框，讓測試者抓狂一把。

3. 實現(xiàn)DOM XSS自動化掃描，目前一般的XSS自動化掃描的方法是從http返回結(jié)果中搜索特征來確定是否存在漏洞，但是這種方法不適用于掃描DOM XSS，因為DOM XSS是由客戶端腳本造成的，比如前段時間劍心發(fā)現(xiàn)的google的跨站(見附錄[2])原理如下：

document.write(document.location.hash);

這樣的跨站無法反映在http response里，所以傳統(tǒng)掃描方法沒法掃描出來。但是如果你從上個例子里受到啟發(fā)的話，一定會想到設(shè)置陷阱的辦法，DOM XSS最終導致alert被執(zhí)行，所以我們hook alert函數(shù)設(shè)置陷阱，如果XSS成功則會去調(diào)用alert函數(shù)，觸發(fā)我們的陷阱記錄結(jié)果，這樣就可以實現(xiàn)DOM XSS的自動化掃描，陷阱代碼類似于上面。

4. 靈活的使用js劫持輔助你的頁面代碼分析工作，比如分析網(wǎng)頁木馬時，經(jīng)常會有通過eval或者document.write來進行加密的情況，于是我們編寫段hook eval和document.write的小工具，輔助解密：

<script type="text/javascript">
<!--
var _eval = eval;
eval = window.execScript = window.document.write = window.document.writeln = function(s) {
    document.getElementById("output").value = s;
}
//-->
</script>
<html>
<body>
input:
<textarea id="input" cols="80" rows="10"></textarea>
<input type="button" onclick="javascript: _eval(document.getElementById('input').value);" value="decode" />
<br />
output:
<textarea id="output" cols="80" rows="10"></textarea>
</body>
</html>

在input框里輸入加密的代碼：

eval(unescape("%61%6C%65%72%74%28%31%29%3B"));

在output框里輸出解碼后的代碼：

alert(1);

當然你還能想到更多的靈活應用：）

三、反劫持

談到劫持也就必然要談談反劫持的話題，假設(shè)你要寫一個健壯的xss playload，就需要考慮反劫持，有兩個問題要解決：

如何判斷是否被劫持了？
如果發(fā)現(xiàn)被劫持了，如何反劫持？

1. 判斷某個函數(shù)是否被劫持，這個好辦，寫個小程序?qū)Ρ纫幌乱粋€函數(shù)被hook前后，有什么差別：

<textarea id="tb1" cols="80" rows="8"></textarea>
<script type="text/javascript">
<!--
document.getElementById("tb1").value = eval + "\n";
var _eval = eval;
eval = function(s) {
    alert(s);
    _eval(s);
}
document.getElementById("tb1").value += eval;
//-->
</script>

結(jié)果：

function eval() {
    [native code]
}

function(s) {
    alert(s);
    _eval(s);
}

我們發(fā)現(xiàn)那些內(nèi)置函數(shù)是[native code]，而自定義的則是具體的函數(shù)定義，用這個特征就可以簡單的檢測函數(shù)是否被劫持：

function checkHook(proc) {
    if (proc.toString().indexOf("[native code]") > 0) {
        return false;
    } else {
        return true;
    }
}

2. 如何反劫持，第一個想法就是恢復被劫持的函數(shù)，如果劫持的人把原函數(shù)保存在某個變量里那還好辦，直接調(diào)用原函數(shù)就可以了，但是劫持者自己也沒保存副本怎么辦，只能自己創(chuàng)建個新的環(huán)境，然后用新環(huán)境里的干凈的函數(shù)來恢復我們這里被hook了的，怎么創(chuàng)建新環(huán)境？整個新的iframe好了，里面就是個全新的環(huán)境。ok，動手吧：

function unHook(proc) {
    var f = document.createElement("iframe");
    f.style.border = "0";
    f.style.width = "0";
    f.style.height = "0";
    document.body.appendChild(f);

    var d = f.contentWindow.document;
    d.write("<script type=\"text/javascript\">window.parent.escape = escape;<\/script>");
    d.close();
}

綜合1、2節(jié)，整個測試代碼如下：

<!--antihook.htm-->
<script type="text/javascript">
<!--
escape = function(s) {
    return s;
}
//-->
</script>
<html>
<body>
<input type="button" onclick="javascript: test();" value="test" />
<script type="text/javascript">
<!--
function test() {
    alert(escape("s y"));
   
    if (checkHook(escape)) {
        unHook(escape);
    }

    alert(escape("s y"));
}

function checkHook(proc) {
    if (proc.toString().indexOf("[native code]") > 0) {
        return false;
    } else {
        return true;
    }
}

function unHook(proc) {
    var f = document.createElement("iframe");
    f.style.border = "0";
    f.style.width = "0";
    f.style.height = "0";
    document.body.appendChild(f);

    var d = f.contentWindow.document;
    d.write("<script type=\"text/javascript\">window.parent.escape = escape;<\/script>");
    d.close();
}
//-->
</script>
</body>
</html>

3. 不是上面兩個問題都解決了么，為什么要有第3節(jié)？因為那不是個最好的解決辦法，既然我們可以創(chuàng)建全新的iframe，何不把代碼直接放到全新iframe里執(zhí)行呢，這樣做的話綠色環(huán)保，既不用考慮當前context里的hook問題，也不用改動當前context，不會影響本身的程序執(zhí)行。給出兩個比較通用點的函數(shù)：

function createIframe(w) {
    var d = w.document;
    var newIframe = d.createElement("iframe");
    newIframe.style.width = 0;
    newIframe.style.height = 0;
    d.body.appendChild(newIframe);
    newIframe.contentWindow.document.write("<html><body></body></html>");
    return newIframe;
}

function injectScriptIntoIframe(f, proc) {
    var d = f.contentWindow.document;
    var s = "<script>\n(" + proc.toString() + ")();\n</script>";
    d.write(s);
}

把你的payload封裝進一個函數(shù)，然后調(diào)用這兩個方法來在iframe里執(zhí)行：

function payload() {
    // your code goes here
}

var f = createIframe(top);
injectScriptIntoIframe(f, payload);

四、最后

由于國內(nèi)很少有見文章提及這個東西，所以才草成這篇，希望能夠拋磚引玉。由于本人水平有限，難免有錯誤或者疏漏之處請諒解，沒有說清楚的地方，歡迎和我交流。

還有就是一些不得不感謝的人，感謝劍心一直以來毫無保留的交流，感謝黑鍋多次鼓勵我把自己的心得體會寫成文字，感謝幻影所有的朋友們、B.C.T的朋友們以及群里那幫經(jīng)常一起扯淡的朋友們。

廣告一下，沒法幻影blog的朋友，可以添加hosts來突破：
72.14.219.190 pstgroup.blogspot.com

五、附錄

[1] 簡易的javascript inline debugger代碼

//--------------------------------------------------------------------------//
// 公用的函數(shù)
//--------------------------------------------------------------------------//
// 判斷是否是IE
function isIE() {
    return document.all && window.external;
}

// 去除字符串兩邊的空格
String.prototype.trim = function() {
    var re = /(^\s*)|(\s*)$/g;
    return this.replace(re, "");
}

// 刪除數(shù)組中某個元素
Array.prototype.remove = function(i) {
    var o = this[i];
    for (var j = i; j < this.length - 1; j ++) {
        this[j] = this[j + 1];
    }
    -- this.length;
    return o;
}

// 判斷一個數(shù)組中是否存在相同的元素
Array.prototype.search = function(o) {
    for (var i = 0; i < this.length; i ++) {
        if (this[i] == o) {
            return i;
        }
    }

    return -1;
}

// html編碼
function htmlEncode(s) {
    s = s.replace(/&/g, "&amp;");
    s = s.replace(/</g, "&lt;");
    s = s.replace(/>/g, "&gt;");
    s = s.replace(/\"/g, "&quot;");
    s = s.replace(/\'/g, "&#34;");

    return s;
}