动态JavaScript所造成一些你不知道的危害


Posted in Javascript onSeptember 25, 2016

动态JavaScript

JavaScript代码很多时候会通过服务器端的带啊名来动态地组合到一起。在这个组合的过程中,与用户相关的信息会保存到这些JavaScript的代码中。当将这个JavaScript脚本传送到浏览端的时候,客户端的JavaScript会立即投入使用。但是实际情况是,这些脚本很有可能会被第三方的所引入,而引入这些脚本是没有同源策略的限制的。因此,一个被攻击者所控制的网页很有可能同样被包含引入动态生成的JavaScript脚本然后观察这个脚本的执行情况以及可能存在的安全的问题。由于通过src方式导入的所有的JavaScript脚本和本地的脚本都是会共享全局变量的。因而,如果这样的一个动态脚本包含了用户的隐私数据,那么攻击者就通过引入这个脚本的方式就能够访问到这些数据。这种方式也被称之为跨站脚本包含(XSSI)。

JavaScript的语言特性

在动态Javacript的危害中主要是涉及到JavaScript的作用域、原型链继承这2个特性。

作用域的问题

JavaScript作用域的问题相信很多人都有所了解,不了解可以通过网上搜索看看。不像Java、C++这样的语言是存在块级作用域的,JavaScript仅仅是存在函数作用域。这就意味着JavaScript引擎会为每一个函数分配一个作用域。在函数内部中定义的变量所在的作用域就是在函数内,这种作用域就叫做本地作用域。下面的代码就很清楚地说明了全局作用域与本地作用域的区别。

原型链

在JavaScript中,每个创建的函数都有一个prototype(原型)属性,这个属性是一个指针,指向一个对象,而这个对象的用途是包含可以由特定类型的所有实例共享的属性和方法。在JavaScript中主要是通过原型链的方式作为继承的主要方法。其基本思想是利用原型让一个应用类型继承另一个应用类型的属性和方法。当访问一个对象的属性的时候,JavaScript就去判断当前这个对象本身是否含有这个属性,如果不存在就在对象的原型属性中寻找。

攻击方式

由于HTM中的script标签不受同源策略的影响。因而脚本资源能够导入到跨域的页面当中。虽然跨域的页面不能够直接访问到这些脚本的源代码,但是导入这个脚本之后可以观察这个脚本在页面中的执行情况。如果这样的一个动态脚本包含有用户的隐私数据,那么这种方式就有可能泄漏用户的数据。

基于全局变量的攻击

当导入的JavaScrpit中创建了一个全局变量,这个全局变量也是可以被页面中的JavaScript代码所访问的。因此如果一个动态脚本将用户的隐私数据赋值给了一个全局变量,那么攻击者就可以通过全局变量就可以访问到这个数据了。

假设在正常的脚本leak.js中的JavaScript代码如下:

(function() {
 window.secret = "345a8b7c9d8e34f5";
})();

可以看到,此脚本中将用户的隐私数据赋值给了windows全局变量。

恶意站点的代码为:

<script src="http://www.good.com/leak1.js"></script>
<script>
 var user_data= window.secret; 
 // send user data to hacker
 sendstolendata(user_data);
</script>

当用户访问到了含有上面的恶意代码的网站的时候,此网站就会通过window对象来获取用户数据然后发送给攻击者。

重新定义全局API攻击

由于JavaScript的动态性,导致很多的函数能够被攻击者重写,即使是那些JavaScript内置的函数。如果一个动态的JavaScript脚本通过一个系统中内置函数来传递隐私数据,那么攻击者在这个函数调用之前通过重写这个函数,就可以获取到用户的隐私数据了。

假设在正常的脚本leak.js中的JavaScript的代码如下:

(function() {
 var secret = "345a8b7c9d8e34f5";

 JSON.stringify(secret);
})();

可以发现,在这个代码中,调用了JavaScript语言中自带了的JSON.sttringify()的方法。而这个方法完全是可以被黑客所利用的。

以下是恶意站点中的代码:

<script type="text/javascript">
 JSON.stringify = function (user_data) {
  sendstolendata(user_data);
 }
</script>
<script type="text/javascript" src="http://www.good.com/leak.js"></script>

当用户访问此站点的时候,由于JSON.strinify()方法已经被攻击者重写了,所以当导入的leak.js的中的代码执行,调用JSON.stringify()的方法的时候,实际上调用的是攻击者所写的方法。这样用户的信息就会被窃取了。

原型篡改

正如之前说过的一样,javaScript是基于原型链的。当访问对象的一个属性的时候,JavaScript解释器会通过原型链来进行寻找,直到找到这个属性为止。在下面的这段代码中,我们就会对这个问题有一个清晰的认识了。

假设在正常的脚本leak.js中的JavaScript的代码如下:

(function(){
 var arr = ["secret1","secret2","secret3"];
 var x = arr.slice();
})();

从代码中可以看到,在arr数组中存在了3个与用户有关的隐私数据。然后arr实例调用了slice()方法。很明显这个方法是不存在的。因为arr实例本身没有创建和声明这个方法,同时在Array对象中也没有这个方法。但是当出现一个这样的情况的时候,程序并没有报错,只是说明这个slice方法不存在而已。所以在这样的情况下,可能程序员也并不知道他所创建的arr实例有调用slice()这样的一个方法。那么上面的这段代码就很有可能会被攻击者所利用。

以下是恶意站点的代码:

<script type="text/javascript">
Array.prototype.slice = function() {
 //send data to attacker
 sendToAttackBackend(this);
}
</script>
<script type="text/javascript" src="http://www.good.com/leak.js"></script>

当用户访问到这个含有恶意代码的网站的时候,导入的leak.js中的JavaScript要执行slice方法执行的时候,就会调用攻击者为Array添加的slice方法,这样敏感数据就会发送到攻击者了。

防范

开发人员在进行网站开发的时候,最好是将代码与数据分开。敏感和重要的数据应该保存在单独的文件中,这样这些文件就不会被浏览器当作JavaScript来执行了。同时还需要为这些静态资源设置访问权限,只要在用户登录之后才可以访问,在这种情况下攻击者即使引入了这个静态资源也无法访问这个数据。

总结

以上就是关于动态JavaScript所造成危害的全部内容了,希望这篇文章能对大家的学习或者工作带来一定的帮助,如果有疑问大家可以留言交流。

Javascript 相关文章推荐
JavaScript iframe的相互操作浅析
Oct 14 Javascript
jQuery 常见学习网站与参考书
Nov 09 Javascript
javascript 导出数据到Excel(处理table中的元素)
Dec 18 Javascript
js中查找最近的共有祖先元素的实现代码
Dec 30 Javascript
jquery判断单选按钮radio是否选中的方法
May 05 Javascript
微信小程序三级联动地址选择器的实例代码
Jul 12 Javascript
谈谈VUE种methods watch和compute的区别和联系
Aug 01 Javascript
JavaScript数据结构之双向链表定义与使用方法示例
Oct 27 Javascript
vue输入节流,避免实时请求接口的实例代码
Oct 30 Javascript
Layui实现主窗口和Iframe层参数传递
Nov 14 Javascript
uni-app使用countdown插件实现倒计时
Nov 01 Javascript
浅谈nuxtjs校验登录中间件和混入(mixin)
Nov 06 Javascript
jQuery中的AjaxSubmit使用讲解
Sep 25 #Javascript
需要牢记的JavaScript基础知识
Sep 25 #Javascript
分享一个原生的JavaScript拖动方法
Sep 25 #Javascript
HTML中setCapture、releaseCapture 使用方法浅析
Sep 25 #Javascript
jQuery的deferred对象使用详解
Sep 25 #Javascript
简单谈谈Vue 模板各类数据绑定
Sep 25 #Javascript
D3.js实现直方图的方法详解
Sep 25 #Javascript
You might like
php变量范围介绍
2012/10/15 PHP
php中随机函数mt_rand()与rand()性能对比分析
2014/12/01 PHP
php rsa加密解密使用详解
2015/01/14 PHP
php注册登录系统简化版
2020/12/28 PHP
详解Yii2.0 rules验证规则集合
2017/03/21 PHP
PHP FileSystem 文件系统常用api整理总结
2019/07/12 PHP
Thinkphp5.0框架视图view的模板布局用法分析
2019/10/12 PHP
根据出生日期自动取得星座的js代码
2010/07/20 Javascript
JavaScript 判断日期格式是否正确的实现代码
2011/07/04 Javascript
JavaScript的事件绑定(方便不支持js的时候)
2013/10/01 Javascript
兼容主流浏览器的iframe自适应高度js脚本
2014/01/10 Javascript
一个很有趣3D球状标签云兼容IE8
2014/08/22 Javascript
微信公众号  提示:Unauthorized API function 问题解决方法
2016/12/05 Javascript
javascript中的面向对象
2017/03/30 Javascript
JavaScript实现无穷滚动加载数据
2017/05/06 Javascript
浅析为什么a=&quot;abc&quot; 不等于 a=new String(&quot;abc&quot;)
2017/10/25 Javascript
浅谈webpack 自动刷新与解析
2018/04/09 Javascript
超详细的5个Shell脚本实例分享(值得收藏)
2019/08/15 Javascript
微信小程序 scroll-view的使用案例代码详解
2020/06/11 Javascript
[52:07]完美世界DOTA2联赛PWL S3 LBZS vs access 第二场 12.10
2020/12/13 DOTA
动感网页相册 python编写简单文件夹内图片浏览工具
2016/08/17 Python
数据清洗--DataFrame中的空值处理方法
2018/07/03 Python
Python+Pandas 获取数据库并加入DataFrame的实例
2018/07/25 Python
Flask-WTF表单的使用方法
2019/07/12 Python
Python3中urlencode和urldecode的用法详解
2019/07/23 Python
python 实现兔子生兔子示例
2019/11/21 Python
python数字类型math库原理解析
2020/03/02 Python
Pyinstaller 打包发布经验总结
2020/06/02 Python
澳洲的服装老品牌:SABA
2018/02/06 全球购物
给领导的致歉信范文
2014/01/13 职场文书
大学自我评价
2014/02/12 职场文书
建筑结构施工专业推荐信
2014/02/21 职场文书
入党自我鉴定
2014/03/25 职场文书
在职人员跳槽求职信
2015/03/20 职场文书
幼儿园保教工作总结2015
2015/10/15 职场文书
PYTHON InceptionV3模型的复现详解
2022/05/06 Python