问题标签 [code-injection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - Javascript 安全问题
好的,我从一个非常简单的方法开始:
“someText”是一个变量,用户将通过表单传递一个值。用户是否有机会传递以下文本,并在我的 Javascript 中注入一些代码?例如,用户可以在这个方法中传递这个:
“另一个文本”);警报(“下一个文本”
如果是这样,我怎样才能防止它发生?如果没有,任何人都可以提及有关 javascript 的一些安全问题吗?
macos - 提升使用 mach_inject 的权限
如何使用 Authorization API 将用户权限提升到 root 以便可以使用 mach_inject?
.net - [net]如何将调试代码注入程序集?
给定一个具有如下入口点的程序集:
是否可以使用另一个程序集来模拟类似的东西:
并且仅在存在 DEBUG 时启用此代码注入。如果有这样的方式,你如何加载“调试”程序集?
编辑 1:#ifdef 不是一个选项。说,我不想修改代码库。
编辑 2:我的主要问题是“如何将代码注入到已经编译的程序集中”。我确实有基本代码,但我宁愿不在该主代码中添加用于跟踪的 K 行,而是使用另一个程序集来执行此操作。我确实知道如何使用 VS 进行调试,我想要的是添加变量的跟踪机制(除其他外)。
java - 从另一个应用程序的框架中读取文本
我计划创建一个玩具应用程序来玩游戏。是否可以从另一个应用程序框架中捕获游戏数据?我知道这传统上是使用低级语言并使用 dll 注入完成的,但我想知道这是否可以从高级语言中完成?
php - 使用 $_SERVER["SCRIPT_NAME"] 是否安全
我不想将 GET 或 POST 变量传递给脚本。我想使用文件名并使用它从 php 脚本中查找产品,例如:
......./DELL1500.php
......./COMPAQ1213.php
我有三个问题:
$_SERVER["SCRIPT_NAME"]PHP从服务器或客户端浏览器从哪里获取数据?谁能想到使用它的任何安全问题?
无论如何,这是否与任何旧浏览器不兼容。我假设它不是由服务器提供的?
javascript - 如何替换窗口/iframe 的文档对象
我需要在 iframe 窗口中注入我之前实例化的文档对象,并且我无法将其序列化为字符串或远程 url(这些是以前的 stackoverflow 帖子中提出的解决方案),因为此文档对象的元素绑定到其他对象在我的代码中。
我该怎么做 ?
谢谢,b。
php - 如何在字符串变量的某些点注入 PHP 代码?
我有一个类,将 CSS 和 Javascript 文件的路径存储在数组中。此类还编译我的最终页面 HTML 输出(存储在 $output 变量中)。我想遍历我的 $css 和 $js 数组并在 $output 中的特定点注入 HTML。CSS 文件需要在之前进行</head>,而 JS 文件需要在之前进行</body>
在我的 HTML 模板文件中包含占位符 $cssFiles 和 $jsFiles 变量对我来说不是一个选项。
只是为了使这进一步复杂化(对不起),我需要一个故障保护,如果</head>和/或</body>不存在于 $output 中,则代码将在 $output 的开头注入。
我认为这是一个正则表达式问题,但我不知道模式是什么。
谢谢!
c++ - 如何从注入进程的内存空间重建数据结构?
我有我制作的这个DLL。它被注入另一个进程。在另一个进程中,我使用以下函数从它的内存空间中进行搜索:
现在我的问题。如果目标进程使用数据结构,假设
它在进程的内存中总是以相同的方式呈现吗?我的意思是,如果 Sa = 2(始终遵循 b = 3,c = 4),是在进程的内存空间中以连续行呈现的结构,例如
或者这些变量可以在不同的地方,比如
如果是后者,如何从内存中的各个点重建数据结构?
非常感谢,
nhaa123
javascript - 使用 PHP 作为 Javascript 文件 - 安全性?
在 javascript include 中使用 php 文件而不是 .js 文件有什么问题;
显然,我将检查并插入寄存器全局问题等,但是否还有其他可能由此产生的漏洞?考虑到 100,000+ 人将使用此脚本查看页面。
c# - AppDomain.CreateInstanceFromAndUnwrap - 无法投射透明代理
我正在编写一个 .NET 库来将托管 DLL 注入外部进程。我目前的做法是:
- 用于
CreateRemoteThread强制目标进程调用LoadLibrary非托管引导 DLL。从这一点开始,我们正在目标进程中执行代码。 - 然后我的引导 DLL 创建 CLR 的一个实例并调用
ExecuteInDefaultAppDomain它,它执行托管帮助 DLL 中的一个方法。 - 此方法创建一个新的 AppDomain 并调用
AppDomain.CreateInstanceFromAndUnwrap以将执行传递到我的有效负载 DLL,将结果转换为IInjectionPayload. - 这个想法是我的有效负载 DLL 公开了一个实现的类
IInjectionPayload,因此帮助 DLL 可以简单地调用payload.Run()。
我这样做是为了通过简单地调用AppDomain.Unload(在发出清理信号后)来完全卸载有效负载代码。
这种方法有效 - 我的有效负载 DLL 中的类正在目标进程中实例化,因此可以执行代码 - 但我不能将返回的对象CreateInstanceFromAndUnwrap转换为IInjectionPayload; 它抛出以下异常:
无法将透明代理转换为类型“blah.Blah.IInjectionPayload”。
我尝试过使用CreateInstanceAndUnwrap, 和Activator.CreateInstanceFrom后跟Object.Unwrap,但这两种方法也会导致抛出相同的异常。
我的有效载荷类的签名是:
public class Program : MarshalByRefObject, IInjectionPayload
我很困惑,因为有效负载 DLL 肯定会被加载,并且类正在按预期进行实例化。任何帮助将非常感激。