arg*_*gon 5 javascript websecurity
这个话题一直是StackOverflow和其他许多技术论坛上许多问题和答案的祸根。然而,他们大多是针对具体情况更糟糕:“在所有”脚本注射预防通过安全dev-tools-console,或者dev-tools-elements甚至address-bar被说成是“不可能”来保护。这个问题是为了解决这些问题,并随着技术的改进(或发现新的/更好的方法来解决与script-injection攻击有关的浏览器安全性问题),作为当前和历史的参考。
有很多方法可以“实时”提取或操作信息。特别是,无论SSL / TLS为何,截取从输入中收集的信息(要传输到服务器)都非常容易。
截取示例在这里看看,
不管它有多“粗鲁”,都可以轻松地使用该原理来制作模板,然后将其复制并粘贴到eval()浏览器控制台中,以进行各种讨厌的事情,例如:
console.log()通过XHR拦截传输中的信息POST-data,更改用户引用,例如UUIDsGET通过检查JS代码将目标服务器替代(&张贴)请求信息提供给中继(或获取)信息,cookies以及headers对于未经训练的人来说,这种攻击“似乎”微不足道,但是当高度动态的界面受到关注时,这很快就变成了一场噩梦-等待被利用。
我们都知道“您不能信任前端”,服务器应该对安全负责;但是-我们心爱的访客的隐私/安全又如何呢?许多人使用JavaScript创建“快速应用程序”,要么都不知道(或不关心)后端安全性。
确保前端和后端的安全对普通攻击者来说是非常艰巨的,而且减轻了服务器负载(在许多情况下)。
Google和Facebook都采取了一些缓解这些问题的方法,并且它们都可以工作。因此,这不是“不可能”的,但是它们非常特定于各自的平台,要实现该功能,需要使用整个框架以及大量工作-仅覆盖基础知识。
无论这些保护机制中的某些看起来多么“丑陋”;目标是在某种程度上帮助(缓解/预防)安全问题,这使攻击者难以承受。众所周知,“您不能阻止黑客,只能阻止他们的努力”。
目标是拥有一套简单的工具(功能):
immutable,以防止攻击者“重新捕获”这是解决其中一些问题的一种方法,我并不认为这是“最好”的方法(根本),这是一种尝试。如果可以拦截一些“可利用”的函数和方法,并查看“调用”(每次调用)是否是从生成它的服务器发出的,那么这可能会被证明是有用的,因为我们可以看到该调用是否来自“来自稀薄的空气”(开发工具)。
如果要采用这种方法,那么首先我们需要一个函数来抓取并丢弃不属于FUBU 的call-stack内容(对于我们来说)。如果这个函数的结果为空,哈扎!- 我们没有打电话,我们可以进行相应的处理。
为了使其尽可能简短,以下代码示例遵循 DRYKIS原则,即:
话虽如此,请原谅我的“速记”,解释如下
const MAIN = window;
const VOID = (function(){}()); // paranoid
const HOST = `https://${location.host}`; // if not `https` then ... ?
const stak = function(x,a, e,s,r,h,o)
{
a=(a||''); e=(new Error('.')); s=e.stack.split('\n'); s.shift(); r=[]; h=HOSTPURL; o=['_fake_']; s.forEach((i)=>
{
if(i.indexOf(h)<0){return}; let p,c,f,l,q; q=1; p=i.trim().split(h); c=p[0].split('@').join('').split('at ').join('').trim();
c=c.split(' ')[0];if(!c){c='anon'}; o.forEach((y)=>{if(((c.indexOf(y)==0)||(c.indexOf('.'+y)>0))&&(a.indexOf(y)<0)){q=0}}); if(!q){return};
p=p[1].split(' '); f=p[0]; if(f.indexOf(':')>0){p=f.split(':'); f=p[0]}else{p=p.pop().split(':')}; if(f=='/'){return};
l=p[1]; r[r.length]=([c,f,l]).join(' ');
});
if(!isNaN(x*1)){return r[x]}; return r;
};
在畏缩之后,记住这是“即时”编写的“概念证明”,但经过测试并且它有效。根据您的意愿进行编辑。
stak()- 简短的解释
x是数字,则stack(0)返回日志中的第一项,或者undefineda是 -string或 anarray那么 例如stack(undefined, "anonymous") 允许“匿名”,即使它在中被“省略”ofunction file line/(完全)忽略文件名,因此如果您测试此代码,放入单独的文件将比(通常)或使用任何 Web 根机制.js产生更好的结果index.html_fake_现在不用担心,它在jack下面的函数中bore()- 通过字符串引用获取/设置/删除对象的某些值
const bore = function(o,k,v)
{
if(((typeof k)!='string')||(k.trim().length<1)){return}; // invalid
if(v===VOID){return (new Function("a",`return a.${k}`))(o)}; // get
if(v===null){(new Function("a",`delete a.${k}`))(o); return true}; // rip
(new Function("a","z",`a.${k}=z`))(o,v); return true; // set
};
bake()- 强化现有对象属性(或定义新属性)的简写
const bake = function(o,k,v)
{
if(!o||!o.hasOwnProperty){return}; if(v==VOID){v=o[k]};
let c={enumerable:false,configurable:false,writable:false,value:v};
let r=true; try{Object.defineProperty(o,k,c);}catch(e){r=false};
return r;
};
这些是不言自明的,所以,一些简单的例子就足够了
bore获取属性:console.log(bore(window,"XMLHttpRequest.prototype.open"))bore设置属性:bore(window,"XMLHttpRequest.prototype.open",function(){return "foo"})bore撕裂(不小心破坏):bore(window,"XMLHttpRequest.prototype.open",null)bake强化现有属性:bake(XMLHttpRequest.prototype,'open')bake定义新的(硬)属性:bake(XMLHttpRequest.prototype,'bark',function(){return "woof!"})现在我们可以利用以上所有内容来设计一个简单而有效的拦截器,它绝不是“完美”的,但它应该足够了;解释如下:
const jack = function(k,v)
{
if(((typeof k)!='string')||!k.trim()){return}; // invalid reference
if(!!v&&((typeof v)!='function')){return}; // invalid callback func
if(!v){return this[k]}; // return existing definition, or undefined
if(k in this){this[k].list[(this[k].list.length)]=v; return}; //add
let h,n; h=k.split('.'); n=h.pop(); h=h.join('.'); // name & holder
this[k]={func:bore(MAIN,k),list:[v]}; // define new callback object
bore(MAIN,k,null); let f={[`_fake_${k}`]:function()
{
let r,j,a,z,q; j='_fake_'; r=stak(0,j); r=(r||'').split(' ')[0];
if(!r.startsWith(j)&&(r.indexOf(`.${j}`)<0)){fail(`:(`);return};
r=jack((r.split(j).pop())); a=([].slice.call(arguments));
for(let p in r.list)
{
if(!r.list.hasOwnProperty(p)||q){continue}; let i,x;
i=r.list[p].toString(); x=(new Function("y",`return {[y]:${i}}[y];`))(j);
q=x.apply(r,a); if(q==VOID){return}; if(!Array.isArray(q)){q=[q]};
z=r.func.apply(this,q);
};
return z;
}}[`_fake_${k}`];
bake(f,'name',`_fake_${k}`); bake((h?bore(MAIN,h):MAIN),n,f);
try{bore(MAIN,k).prototype=Object.create(this[k].func.prototype)}
catch(e){};
}.bind({});
jack()- 解释
bore),第二个用作拦截器(函数)jack废弃现有函数,将其收起,然后使用“拦截器函数”重播参数undefined一个值,如果没有返回任何值,则不会调用原始函数fail(":(")是故意的;如果您没有该功能,则会抛出错误 - 仅当失败时jack()。让我们防止eval在控制台或地址栏中使用
jack("eval",function(a){if(stak(0)){return a}; alert("having fun?")});
如果您想要一种DRY-er方式与 交互jack,以下内容经过测试并且效果良好:
const hijack = function(l,f)
{
if(Array.isArray(l)){l.forEach((i)=>{jack(i,f)});return};
};
现在你可以批量拦截,如下所示:
hijack(['eval','XMLHttpRequest.prototype.open'],function()
{if(stak(0)){return ([].slice.call(arguments))}; alert("gotcha!")});
然后,聪明的攻击者可能会使用元素(开发工具)来修改某些元素的属性,为其提供一些onclick事件,然后我们的拦截器将无法捕获该事件;然而,我们可以使用突变观察者并通过该观察者来监视“属性变化”。在属性更改(或新节点)时,我们可以通过检查检查是否进行了FUBU(或没有)更改stak():
const watchDog=(new MutationObserver(function(l)
{
if(!stak(0)){alert("you again! :D");return};
}));
watchDog.observe(document.documentElement,{childList:true,subtree:true,attributes:true});
这些只是处理严重问题的几种方法;尽管我希望有人发现这很有用,并且请随意编辑这个答案,或者发布更多(或替代/更好)的提高前端安全性的方法。
| 归档时间: |
|
| 查看次数: |
86 次 |
| 最近记录: |