動態(tài)JavaScript

JavaScript代碼很多時候會通過服務(wù)器端的帶啊名來動態(tài)地組合到一起。在這個組合的過程中，與用戶相關(guān)的信息會保存到這些JavaScript的代碼中。當(dāng)將這個JavaScript腳本傳送到瀏覽端的時候，客戶端的JavaScript會立即投入使用。但是實(shí)際情況是，這些腳本很有可能會被第三方的所引入，而引入這些腳本是沒有同源策略的限制的。因此，一個被攻擊者所控制的網(wǎng)頁很有可能同樣被包含引入動態(tài)生成的JavaScript腳本然后觀察這個腳本的執(zhí)行情況以及可能存在的安全的問題。由于通過src方式導(dǎo)入的所有的JavaScript腳本和本地的腳本都是會共享全局變量的。因而，如果這樣的一個動態(tài)腳本包含了用戶的隱私數(shù)據(jù)，那么攻擊者就通過引入這個腳本的方式就能夠訪問到這些數(shù)據(jù)。這種方式也被稱之為跨站腳本包含(XSSI)。

JavaScript的語言特性

在動態(tài)Javacript的危害中主要是涉及到JavaScript的作用域、原型鏈繼承這2個特性。

作用域的問題

JavaScript作用域的問題相信很多人都有所了解，不了解可以通過網(wǎng)上搜索看看。不像Java、C++這樣的語言是存在塊級作用域的，JavaScript僅僅是存在函數(shù)作用域。這就意味著JavaScript引擎會為每一個函數(shù)分配一個作用域。在函數(shù)內(nèi)部中定義的變量所在的作用域就是在函數(shù)內(nèi)，這種作用域就叫做本地作用域。下面的代碼就很清楚地說明了全局作用域與本地作用域的區(qū)別。

原型鏈

在JavaScript中，每個創(chuàng)建的函數(shù)都有一個prototype(原型)屬性，這個屬性是一個指針，指向一個對象，而這個對象的用途是包含可以由特定類型的所有實(shí)例共享的屬性和方法。在JavaScript中主要是通過原型鏈的方式作為繼承的主要方法。其基本思想是利用原型讓一個應(yīng)用類型繼承另一個應(yīng)用類型的屬性和方法。當(dāng)訪問一個對象的屬性的時候，JavaScript就去判斷當(dāng)前這個對象本身是否含有這個屬性，如果不存在就在對象的原型屬性中尋找。

攻擊方式

由于HTM中的script標(biāo)簽不受同源策略的影響。因而腳本資源能夠?qū)氲娇缬虻捻撁娈?dāng)中。雖然跨域的頁面不能夠直接訪問到這些腳本的源代碼，但是導(dǎo)入這個腳本之后可以觀察這個腳本在頁面中的執(zhí)行情況。如果這樣的一個動態(tài)腳本包含有用戶的隱私數(shù)據(jù)，那么這種方式就有可能泄漏用戶的數(shù)據(jù)。

基于全局變量的攻擊

當(dāng)導(dǎo)入的JavaScrpit中創(chuàng)建了一個全局變量，這個全局變量也是可以被頁面中的JavaScript代碼所訪問的。因此如果一個動態(tài)腳本將用戶的隱私數(shù)據(jù)賦值給了一個全局變量，那么攻擊者就可以通過全局變量就可以訪問到這個數(shù)據(jù)了。

假設(shè)在正常的腳本leak.js中的JavaScript代碼如下：

(function() {
 window.secret = "345a8b7c9d8e34f5";
})();

可以看到，此腳本中將用戶的隱私數(shù)據(jù)賦值給了windows全局變量。

惡意站點(diǎn)的代碼為：

<script src="http://www.good.com/leak1.js"></script>
<script>
 var user_data= window.secret; 
 // send user data to hacker
 sendstolendata(user_data);
</script>

當(dāng)用戶訪問到了含有上面的惡意代碼的網(wǎng)站的時候，此網(wǎng)站就會通過window對象來獲取用戶數(shù)據(jù)然后發(fā)送給攻擊者。

重新定義全局API攻擊

由于JavaScript的動態(tài)性，導(dǎo)致很多的函數(shù)能夠被攻擊者重寫，即使是那些JavaScript內(nèi)置的函數(shù)。如果一個動態(tài)的JavaScript腳本通過一個系統(tǒng)中內(nèi)置函數(shù)來傳遞隱私數(shù)據(jù)，那么攻擊者在這個函數(shù)調(diào)用之前通過重寫這個函數(shù)，就可以獲取到用戶的隱私數(shù)據(jù)了。

假設(shè)在正常的腳本leak.js中的JavaScript的代碼如下：

(function() {
 var secret = "345a8b7c9d8e34f5";

 JSON.stringify(secret);
})();

可以發(fā)現(xiàn)，在這個代碼中，調(diào)用了JavaScript語言中自帶了的JSON.sttringify()的方法。而這個方法完全是可以被黑客所利用的。

以下是惡意站點(diǎn)中的代碼：

<script type="text/javascript">
 JSON.stringify = function (user_data) {
  sendstolendata(user_data);
 }
</script>
<script type="text/javascript" src="http://www.good.com/leak.js"></script>

當(dāng)用戶訪問此站點(diǎn)的時候，由于JSON.strinify()方法已經(jīng)被攻擊者重寫了，所以當(dāng)導(dǎo)入的leak.js的中的代碼執(zhí)行，調(diào)用JSON.stringify()的方法的時候，實(shí)際上調(diào)用的是攻擊者所寫的方法。這樣用戶的信息就會被竊取了。

原型篡改

正如之前說過的一樣，javaScript是基于原型鏈的。當(dāng)訪問對象的一個屬性的時候，JavaScript解釋器會通過原型鏈來進(jìn)行尋找，直到找到這個屬性為止。在下面的這段代碼中，我們就會對這個問題有一個清晰的認(rèn)識了。

假設(shè)在正常的腳本leak.js中的JavaScript的代碼如下:

(function(){
 var arr = ["secret1","secret2","secret3"];
 var x = arr.slice();
})();

從代碼中可以看到，在arr數(shù)組中存在了3個與用戶有關(guān)的隱私數(shù)據(jù)。然后arr實(shí)例調(diào)用了slice()方法。很明顯這個方法是不存在的。因?yàn)閍rr實(shí)例本身沒有創(chuàng)建和聲明這個方法，同時在Array對象中也沒有這個方法。但是當(dāng)出現(xiàn)一個這樣的情況的時候，程序并沒有報錯，只是說明這個slice方法不存在而已。所以在這樣的情況下，可能程序員也并不知道他所創(chuàng)建的arr實(shí)例有調(diào)用slice()這樣的一個方法。那么上面的這段代碼就很有可能會被攻擊者所利用。

以下是惡意站點(diǎn)的代碼：

<script type="text/javascript">
Array.prototype.slice = function() {
 //send data to attacker
 sendToAttackBackend(this);
}
</script>
<script type="text/javascript" src="http://www.good.com/leak.js"></script>

當(dāng)用戶訪問到這個含有惡意代碼的網(wǎng)站的時候，導(dǎo)入的leak.js中的JavaScript要執(zhí)行slice方法執(zhí)行的時候，就會調(diào)用攻擊者為Array添加的slice方法，這樣敏感數(shù)據(jù)就會發(fā)送到攻擊者了。

防范

開發(fā)人員在進(jìn)行網(wǎng)站開發(fā)的時候，最好是將代碼與數(shù)據(jù)分開。敏感和重要的數(shù)據(jù)應(yīng)該保存在單獨(dú)的文件中，這樣這些文件就不會被瀏覽器當(dāng)作JavaScript來執(zhí)行了。同時還需要為這些靜態(tài)資源設(shè)置訪問權(quán)限，只要在用戶登錄之后才可以訪問，在這種情況下攻擊者即使引入了這個靜態(tài)資源也無法訪問這個數(shù)據(jù)。

總結(jié)

以上就是關(guān)于動態(tài)JavaScript所造成危害的全部內(nèi)容了，希望這篇文章能對大家的學(xué)習(xí)或者工作帶來一定的幫助，如果有疑問大家可以留言交流。

最新評論