我很喜欢以一种出乎意料的 *** 应用JavaScript，写成一些看上去怪异但实际上很有用的代码，这种代码经常可以执行一些出乎意料作用。这听起来似 乎一些无足轻重，可是根据这一点发觉足够小结出一些十分有效的程序编写 *** 。下边提到的每一个小窍门都能够屏蔽XSS过滤装置，这也就是我写这种代码的初心。然 而，学习培训那样的JavaScript代码能够显著提升你对語言自身的把握，协助你能够更好地解决键入，而且提升Web程序运行的安全系数。

下边就看看这种让人惊讶的JavaScript代码吧！

当采用含有replace的正则表达式时，第二个主要参数适用函数取值。在Opera中，能够运用这一参数执行代码。比如，下边这一代码精彩片段：

这一执行的結果可能等额的于：alert(‘XSS’); 造成这类状况的缘故是正则表达式的配对项被被当做一个主要参数，传送来到alert函数。一般状况下，在配对文字上你能用一个函数启用另一段代码，像那样：

可是，如同在之一个例子中所见到的，大家执行了一个当地alert启用，而不是客户自定函数，而且主要参数由正则表达式传送来到当地启用。它是个很帅的 *** ，能够屏蔽一些XSS过滤装置。比如，先写一个字符串数组，再跟一个“卯点”，然后就可以启用一切你要启用的函数啦。

为 了看一看这一在XSS自然环境中是如何使用的，想像一下：我们在字符串数组中有段未过虑的进攻代码，可能是JavaScript恶性事件或是是script标 签，即这一字符串数组中出現了一个引入。更先，大家引入一个合理的函数alert(1)，然后大家提升这一冒号的限定，最终再写大家的正则表达式。

留意我在这用了eval函数执行我觉得执行的一切代码，而且为了更好地使进攻代码传送给eval，正则表达式务必配对全部项。

假如我将全部的代码放到一起，展现这一页的輸出，那样的话便会更非常容易了解这一全过程：

页輸出：

上边的代码在剖析脚本 *** 中很普遍，你网上检索的全部字符串数组都被一些广告传媒公司存储在那样的剖析脚本 *** 中。你很有可能沒有注意到这种脚本 *** ，可是假如 你观查一个 Web网页页面的源，你能发觉它是经常会出现的。此外，社区论坛也是一个常常会采用这种脚本 *** 的地区。“YOUR INPUT”就是你所操纵的字符串数组。假如键入沒有被恰当过虑时，这也将被称作根据DOM的XSS引入。(注：DOM，将 HTML 文本文档表述为树形结构，一般指HTML构造)

键入：

輸出結果：

留意这儿”//”用以消除后边引入的单行注解。

虽然在对Unicode标识符转义时，用圆括号是不大可能的，可是我们可以对已经被启用的函数名开展转义。比如：

这句话代码启用了alert(1); \\u说明它是个转义标识符，而且在a后边的十六进制数是“a”。

此外，基本标识符能够和转义标识符混和或配对应用，下边的例子就展现了这一点：

你也能够将他们包括在字符串数组中，乃至用eval对他们求值。Unicode转义和基本的16进制或8进制转义一些不一样，由于Unicode转义能够包括在一个字符串数组中，或是是引入函数、自变量或目标中。

下边的例子展现了怎么使用被求值而且被分为两一部分的Unicode转义。

通 过防止像取名为alert那样的基本函数，大家就可以忽悠XSS过滤装置引入大家的代码。这一例子便是用于绕开PHPIDS（一个开源系统的IDS系 统），最后造成 标准越来越更健硕。假如为了更好地剖析很有可能运作的故意代码，你需要在编解码JavaScript时，必须考虑到过虑尽量多的编码方式。如同在这个例子 中 见到的，这不是个非常容易的工作中。

JavaScript是一个十分动态性的語言。能够执行很很多的代码。这种代码之一眼看上去好像不可以执行，殊不知一旦了解了在线解析工作中的基本原理，你也就可以慢慢了解它身后的逻辑性。

JavaScript在函数执行以前是不清楚函数結果的，而且很显著它务必根据启用函数回到自变量的种类。这一点很趣味，举个例子：假如回到函数不可以回到代码块的一个幅值，便会在函数执行以后出現拼写错误。

说的究竟是什么含意呢？行吧！代码总比空话更有感染力，看下面的例子：

alert函数执行后，回到一个未定义的量，殊不知早已一些太迟了，拼写错误马上便会出現，这是由于自减操作符的操作数应该是一个数据。

下边是一些不容易造成不正确的例子：

你 很有可能觉得上边的例子沒有什么意义，可是事实上他们刻骨铭心最能体现JavaScript的工作中全过程。一旦你了解了这种关键点，JavaScript这一大 *** 就越来越清楚，掌握代码的执行 *** 能够协助你了解在线解析是怎么工作中的。我认为这类例子在跟踪拼写错误，检验根据DOM的XSS进攻和检验XSS过滤装置的 情况下很有效。

你能用意想不到的 *** 开展删掉实际操作，这会造成一些很怪异的英语的语法。使我们看一下将throw, delete, not和typeof操作符组成在一起会产生哪些？

你很有可能觉得这句话代码不可以运作，可是应用函数启用delete确是能够的，依然可以执行：

这里有一些大量的例子：

第 一眼看以往，你能觉得那样的代码有拼写错误，可是如果你具体分析后，你觉得会出现一些大道理。在线解析先发觉一个数字能量数组內部的自变量取值，执行取值实际操作后删掉 数字能量数组。一样地，删掉实际操作是在一个函数（注*[a=alert]）启用以后，由于删掉实际操作必须在了解函数执行結果的状况下，才可以删掉回到的目标，即便 回到的是NULL。

另外，这种代码能够用于屏蔽掉XSS过滤装置，由于他们常常会试着着配对合理的英语的语法，不期待代码太晦涩难懂。如果你的程序运行开展数据验证的情况下，你应该考虑到那样的例子。

在屏蔽掉XSS过滤装置的特殊案例中，进攻代码常常掩藏在一个相近英文文字中的自变量中。聪慧的系统软件如PHPIDS，能够应用语法分析去较为分辨浏览要求是不是故意进攻，因此 它是检测这种系统软件很有效的方式 。

仅应用全局性目标或函数时，可以造成相近英语的代码块。实际上，在sla.ckers安全论坛上，大家可以玩个游戏，用JavaScript方式造成相近英语的句子。为了更好地掌握它是如何一回事儿，请看下面的例子：

自己虚构了个姓名，称为Javascriptlish, 因为它能够造成一些看上去很难以置信的代码：

大家应用正则表达式/is/紧跟一个操作符^，然后造就一个目标{ a : ‘weird’}(有着a特性和取值weird)。在大家刚造就的目标中，找寻’ & wonderful ‘特性，这一特性然后被一串标识符分离。

接下去大家用一个取名为the_fun 的标志和一个含有never的数字能量数组，用一个取名为stop的全局性函数查验s… 的特性，全部这种全是恰当的英语的语法。

当火狐浏览器提升 custom syntax for setters后， 屏蔽掉一些不应用圆括弧的趣味XSS引入。Opera还不兼容自定英语的语法—从安全性视角而言，它是个优势，但对JavaScript *** 黑客而言却并不是个好 信息。殊不知Opera适用规范的defineSetter英语的语法。这使大家可以根据取值以做到启用函数的 目地，说起来这对屏蔽掉XSS过滤装置而言也一些功效。

倘若你没掌握setters/getters，那麼上边的例子便是为静态变量x造就了一个设值函数。当一个自变量被设置时便会启用设值函数。第二个主要参数alert是函数启用取值。那样，当x被取值成1时，便会启用alert函数，并把1做为主要参数。

location目标容许url用JavaScript编号。这容许你根据双向编号进一步掩盖XSS引入。

将他们与转义标识符融合可以非常好地掩藏字符串数组。

之一个例子是行得通的，由于Opera的地址栏能够鉴别编号的详细地址串。根据用URL编码，你能掩藏JavaScript代码。这一点很有效，尤其是当传送XSS进攻代码的情况下，大家为了更好地更进一步地屏蔽掉过虑，能够开展双向URL编码。

第二个例子融合了之一个例子运用转义标识符的 *** 。因此 ，如果你对字符串数组编解码时，便会造成 alert函数以那样的方式显示信息：

注* a 的ASCII编号为0x61

一直以来，代码搞混技术性一直都被觉得是不可以登人生巅峰的奇巧淫技，沒有哪一个专家学者会拿正眼瞧它一眼。国际性C语言错乱代码比赛（International Obfuscated C Code Contest，IOCCC）[177,227]便是一个非常好的例子——虽然每一年都是有许多参赛者写成让人啧啧称奇的代码，可是大伙儿对于此事的点评却一直：“啊！这一很有趣，但是对具体工作中有哪些用途吗？”那时候C语言还被觉得是写这种程序流程的更好的选择 。大家那时候认为：代码搞混技术性并没什么真实的使用价值，应用这种技术性的人头脑都坏掉了，想靠这类伎俩忽悠 *** 攻击真是便是白日做梦。可是忽然Java问世了。Java在带来大家能够在一切服务平台上运作的便捷的另外，因为Java字节码设计方案的独特性，促使传统式的对于序列号的安全性维护 *** 一夜之间越来越毫无价值。这时候大家才想到了代码搞混技术性，由于那时候在Java服务平台上，这好像是唯一合理的代码维护技术性。

悲剧的是，代码搞混技术性被运用的最取得成功的行业是在 *** 黑客的手里。大伙儿对于此事应当早已习以为常了。仿佛坏蛋们常常要好大家迅速地融入新技术应用——虽然这种新技术应用全是好大家设计方案出去的。比如说密码算法吧，它既能够维护执法部门中间的通讯，也可以用于维护犯罪分子中间的联络。又例如隐写术，我国安全部可以用它维护我国保密信息，但犯罪嫌疑人也可以运用它以不被发觉。现阶段已经知道的最开始破译根据智能卡的安全防护技术性的人是破译电视电视机顶盒的 *** 黑客，可是这种 *** 黑客 *** 又应用有关安全防护技术性来维护他们自己的商品免遭电视机顶盒生产厂家的破译。

Axel对他撰写的病原体开展搞混解决，使之可免于被Doris发觉——它是 *** 黑客们手上代码搞混技术性的主要用途之一。如图所示1-22所显示。

病原体由2个一部分构成：荷载（payload）和搞混构件（obfuscator），荷载是用于做错事的代码，而搞混构件则是病原体用于维护本身可免于被杀毒的。Axel更先要感柒程序流程P，使之携带病毒v，那样获得一个带病毒的程序流程P ′。随后Axel刚开始散播P ′。假如Doris在她的设备上运作了P ′，那麼病原体便会感柒Doris系统软件中的另一个程序流程Q。在病毒性感染Q以前，会先应用代码搞混技术性对本身开展改动，转化成本身的另一个彻底不一样的版本号v'，随后再去感柒Q，造成带病毒程序流程Q ′……Axel那样做的目地取决于：假如每一代病原体全是彻底不一样得话，Doris的电脑杀毒软件就难以彻底杀毒这种不一样版本号病原体。这和以前探讨的系统软件形变的情况是相近的，只不过是攻防的彼此交换了下部位而已。

1. 有意错误——不留痕迹地开展代码搞混

假如你见过IOCCC的比赛代码，便会发觉他们与一般代码截然不同。设备转化成的、历经搞混的或是被提升过的代码看起来也是这一品行——与人力撰写的代码中间存有极大的差别。例如，看一下代码明细1-1，你一下子就能判断这种代码毫无疑问不是写的。因此 当Axel剖析Doris的程序流程时，这一段代码更先便会造成他的猜疑——登陆密码并不是很可能就藏在这类被搞混的代码中吗？在这书的很多实例中，你都能够见到不留痕迹地应用维护技术性是多么的的关键——不可以给敌人以提醒：大家对这种代码应用了软件保护技术性，或是大家按照那般的一个次序应用了这几类软件保护对策。

假如坏人们应用了这类技术性，大家剖析行为程序流程时就很头痛了。 *** 黑客们根据有意在程序流程中插 入错误的方式来达到隐蔽地使用代码混淆技术的目的。我们来看一下代码清单1-3，这个程序是用来对“美国偶像”的投票结果进行记录和统计的。该程序从系统的标准输入中读取投票数据，然后经过统计输出投票结果。下面给出的就是该程序的一次运行实例。

　　

　　代码清单1-3　经过混淆的投票统计代码

　　

　　

　　这个程序的对投票进行统计的算法正确吗？其中是否含有作弊代码？在阅读提示之前 ，请先花点时间，看看从这个只有58行代码的程序中找出错误需要多少时间？好吧，现在你又认为在现实中，从一个拥有成千上百行代码的投票系统中找出类似的错误要花你多少时间呢？如果代码清单1-3中所示的技术与代码清单1-1中所示的技术被结合起来使用的话，又会有怎样的结果呢？这样是否就能使作弊程序隐蔽地潜伏到投票系统的代码中，而不被发觉呢？也许下一期的“美国偶像”早就已经被内定了。（或者，要是这个作弊程序被嵌入在美国总统选举的计票系统中呢……）

　　2. 混淆病毒

　　正如你所见，今天，对于一些很重要的实际问题，代码混淆技术可能是唯一可行的解决方案。但不幸的是，代码混淆技术最辉煌的成就却是在黑客们手中实现的——用于保护病毒、蠕虫、木马和rootkit免遭查杀。观察黑客们研发并在实践中已经证明了其有效性的技术，以及安全研究者们能否再次利用同样技术确实是件很意思的事情。病毒的作者和杀毒软件厂商已经陷入了一场猫捉老鼠的游戏中：每当杀毒软件厂商开发出一种新的病毒检测技术时，病毒的作者们就会使用一种更为巧妙的代码混淆技术来抵御这种检测技术，而这又促使杀毒软件厂商研发更为强大的病毒检测技术……到目前为止，好像还是黑客们在这场游戏中略占上风。根据最新的报道，世界上有25%的计算机曾经被botnet[368]入侵和控制。当然，这一“成就”也不能光归功于恶意软件中使用的代码混淆技术，许多人不及时给操作系统打补丁、不经常升级杀毒软件也是一个很重要的原因。

　　病毒逃避杀毒软件检测的主要 *** 是使杀毒软件“看不见” 病毒体中的代码。由于杀毒软件只能占用计算机中极小一部分资源 ，所以它不可能完整地分析硬盘中每个文件。而且即使它能做到这一点，理论研究的结果也表明仍然会有病毒可能漏网。因此大多数杀毒软件都是使用病毒的特征码来识别病毒的。从某种角度上说，如果病毒体的代码在病毒每次感染文件时都不会发生变化的话，特征码确实是一个不错的检测 *** 。它就类似于软件“胎记”（这一技术将在第10章中详细讨论）。

　　那么病毒的作者又是使用哪些技术让杀毒软件“看不见”病毒体中的代码呢？我们来看一下代码清单1-4中给出的这个Java程序。当然，在实际生活中几乎不会有人会用Java去编写病毒，我们编写这个例子只是为了帮助你理解病毒是怎样使用代码混淆技术保护自身的。所以也请你大人有大量，原谅我们用Java编写它吧。

　　在这个Java病毒中有几个做法值得引起我们的注意。首先，我们注意到病毒好像是把自己的整个源码都当成是一个字符串，并把它放在了程序中。为了不至于不断地重复自身导致死循环，编写这个程序的程序员使用了一些代码复制的技巧 。这个技巧在一种源自基内斯 的搞怪表演中也常被使用——在这种表演中，程序运行之后将会输出自己的源码。

　　源码是被放在一个名为self的变量中的。最终它会被写到一个文件（m.java）里去，并由被感染计算机上安装的Java编译器编译执行。最近出现的Slapper蠕虫[320]及其变种也使用编译器来尽量减少自身对于平台的依赖性。使用编译器对黑客有利的另一个副作用是——使用不同的编译器编译同一份源码时可能会产生略微不同的可执行文件（尽管在语义上这些可执行文件是完全等价的），这就使得我们提取病毒特征码时还要考虑不同编译器之间的差异，进而增加了特征码提取的难度。

　　代码清单1-4中的代码更进了一步。在把自身复制到m.java文件中之前，它先要把自身用morph函数处理一下。morph函数的作用就是在程序的各行之间都插入一句i++语句。这个语句并不会影响程序的行为或者输出结果，但是这个小花招的确使每个新的病毒样本都与其前一代不一样！这也就是说，只使用了简单的特征码技术的杀毒软件是无法发现这个病毒的。

　　代码清单1-4　一个Java变形病毒

　　

　　

　　你可以想象一下：如果这里，病毒的作者没有使用这个简陋的morph函数，而是使用了那些下文详细介绍的、更为狡诈的代码混淆技术，你认为杀毒软件要用到哪些分析技术才能发现这个病毒呢？

　　实践中，病毒会使用代码混淆技术尽可能地确保每次感染后产生的新一代病毒的许多属性都变得完全不同。我们把这种在每次感染之后都用代码混淆技术把整个病毒体的代码全部改得面目全非的病毒称为变形病毒。而多态病毒可以认为是变形病毒的更进一步优化的版本。因为它不像变形病毒对整个病毒的代码都进行混淆处理 ，而是用不同密钥把整个病毒的代码全都加密起来。当然，为了保证能正常运行，病毒还要自带一个解密模块，多态病毒中使用代码混淆技术处理的就只有这个解密模块。总的来说，在多态病毒中，代码混淆技术只是保护了解密模块免于被杀毒软件发现，而病毒剩下的部分则全部是由加密技术进行保护的。

　　懂ASP的话删除 挂马语句，如果不懂干脆用备份覆盖，并及时打上安全补丁和漏洞以防黑客再次入侵！

　　你是发布用的服务器是免费的虚拟主机？如的话那就是服务器自的广告代码是无法删除的，但可以屏蔽掉他的广告代码，具体代码是：

　　<script language='javascript'>

　　var gg_ad_iframe=document.getElementById("gg_ad");

　　if(gg_ad_iframe!=null)

　　{

　　gg_ad_iframe.src="about:blank";

　　}

　　</script>

　　将上面的代码加在网页的头部