12行JS程式碼的DoS攻擊分析及防禦

InfoQ - 劉欣雨發表於2016-04-01
JS

有一段12行的JavaScript程式碼,可以讓Firefox、Chrome、Safari瀏覽器崩潰,而且還能讓iPhone重啟、安卓閃退,本文作者對這12行程式碼進行了分析解讀並且提出了相應的防禦辦法,歡迎大家一同探討。這裡有一篇關於這12行js程式碼的文章:這十二行程式碼是如何讓瀏覽器爆炸的?

Ajax與pjax

Ajax即“Asynchronous Javascript And XML”(非同步JavaScript和XML),是一種用於建立快速動態網頁的技術。通過在後臺與伺服器進行少量資料交換,Ajax可以使網頁實現非同步更新。這意味著可以在不重新載入整個網頁的情況下,對網頁的某部分進行更新無重新整理操作。

但是,Ajax應用也會造成另外的問題,容易導致瀏覽器無法前進與後退,這是個很頭疼的問題,開發人員必須增加工作量(比如通過一個隱藏的iframe,或者改變location.hash值等方法)來解決。

為了解決傳統Ajax帶來的問題,HTML5裡引入了新的API:history.pushState,它和Ajax結合後,有個新的稱呼是pjax。是一種基於Ajax+history.pushState的新技術,該技術可以無重新整理改變頁面的內容,並且可以改變頁面的URL。pjax是Ajax+pushState的封裝,同時支援本地儲存、動畫等多種功能。目前支援jquery、qwrap、kissy等多種版本。

HTML5.history.pushState

HTML5可以通過pushState和replaceState介面操作瀏覽器歷史,並且改變當前頁面的URL。

pushState是將指定的URL新增到瀏覽器歷史裡,儲存當前歷史記錄點。replaceState是將指定的URL替換當前的URL。同時,這些方法會和window.onpostate事件一起工作。

history.pushState(data, title, url):往歷史記錄堆疊頂部新增一條記錄;data會在onpopstate事件觸發時作為引數傳遞過去;title為頁面標題,當前所有瀏覽器一般都會 忽略此引數;URL為頁面地址,可選,預設為當前頁地址。具體細節:

state:物件是一個JavaScript狀態物件,記錄歷史記錄點的額外物件,可以為空。它關係到由pushState()方法建立出來的新的history實體。用以儲存關於你所要插入到歷史記錄的條目的相關資訊。

title:所有瀏覽器一般都會 忽略此引數,雖然它可能將來會被使用上。而現在最安全的使用方式是傳一個空字串,以防止將來的修改,或者可以傳一個簡短的標題來表示state。

URL:這個引數用來傳遞新的history實體的URL,新的URL必須和現有的URL同域,否則pushState()將丟擲異常。這個引數是選填的,如果為空,則會被置為document當前的URL。

十二行程式碼分析

上圖就是十二行程式碼,關鍵點在於針對total這個URL的迴圈:history.pushState(0,0,total);不停的在修改URL,迴圈了1,000,000次,不停的向歷史記錄堆疊中新增記錄,會導致CPU和記憶體佔用率過高以及Firefox,Chrome,Safari瀏覽器崩潰,而且還能讓iPhone重啟。

分析結果

在XP虛擬機器(i7單核3.4G、512記憶體) 親自實測:

  • 當上面那個迴圈次數為十萬以上級別的時候,CPU,記憶體使用率瞬間100%,然後崩潰當機;
  • 當上面那個迴圈次數縮小到10000左右的時候,CPU,記憶體使用率大概在20秒內逐漸升高至100%,然後崩潰當機;
  • 當上面那個迴圈次數縮小到500左右的時候, CPU使用率逐漸升高到達100%後,再次瞬間恢復到穩定狀態,記憶體使用從130M左右升高至230M左右,而開啟的192.168.56.106/12.html這個頁面後,位址列裡面的連結也變成了:192.168.56.106/0123456789101112131415161718192021……494495496497498499

可見,通過迴圈不停的向向歷史記錄堆疊中新增記錄的同時,頁面會重新整理到跳轉的新地址,就是迴圈累加的一個“偽地址”,當這個長度超限的時候,就會引起DOS了,攻擊的效果和效率完全取決於迴圈的次數和目標的硬體配置。

相關的防禦

相信大家的安全意識已經非常的強悍了,但是還是要警鐘長鳴,不要輕信任何陌生人通過任何方式發給你的連結、附件、郵件、圖片等任何資訊,當然不排除好基友們、損友們的惡作劇了,所以小夥伴兒們記得經常Ctrl+S哦,否則被搞當機了也會很鬱悶的。

網際網路自誕生之日起,就暴露在黑客攻擊之下,早期的黑客攻擊多少還帶有技術試驗和炫耀的目的,但隨著全球網際網路基礎設施規模的壯大、連線的無限增長和使用者數的急劇膨脹,黑客攻擊頻率也相應增加,黑客技術也在不斷的發展,逐漸出現了以非法獲取經濟利益為目的的黑色產業鏈。針對網際網路安全防護的技術水平更是突飛猛進,道高一尺魔高一丈,攻與防,在這個網際網路時代每分每秒都正在發生著。

當然,網際網路充滿著資訊保安威脅,網路安全防護,七分靠技術,三分靠意識,要防護這些問題,單純依靠安全廠商的產品和服務是遠遠不夠的,網路安全意識的提高不可忽視。

比如:注意個人密碼的管理、注意個人隱私的保護、不要輕易接入公共的wifi、不要輕易相信陌生/熟悉朋友的連結或者檔案等、注意移動支付的安全、不要讓裝置“裸奔”等等。

相關文章