日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
針對XSS漏洞的前端防火墻:可疑模塊攔截

上一篇介紹的系統(tǒng),雖然能防御簡單的內聯(lián)XSS 代碼,但想繞過還是很容易的。

創(chuàng)新互聯(lián)建站專注于泰興網(wǎng)站建設服務及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供泰興營銷型網(wǎng)站建設,泰興網(wǎng)站制作、泰興網(wǎng)頁設計、泰興網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)服務,打造泰興網(wǎng)絡公司原創(chuàng)品牌,更為您提供泰興網(wǎng)站排名全網(wǎng)營銷落地服務。

由于是在前端防護,策略配置都能在源代碼里找到,因此很快就能試出破解方案。并且攻擊者可以屏蔽日志接口,在自己電腦上永不發(fā)出報警信息,保證測試時不會被發(fā)現(xiàn)。

昨天提到最簡單并且最常見的XSS代碼,就是加載站外的一個腳本文件。對于這種情況,關鍵字掃描就無能為力了,因為代碼可以混淆的千變萬化,我們看不出任何異常,只能將其放行。

因此,我們還需增加一套可疑模塊跟蹤系統(tǒng)。

被動掃描

和之前說的一樣,最簡單的辦法仍是遍歷掃描。我們可以定時分析頁面里的腳本元素,發(fā)現(xiàn)有站外地址的腳本就發(fā)送預警日志。

如果昨天說的內聯(lián)事件使用定時掃描,或許還能在觸發(fā)前攔截一部分,但對于腳本則完全不可能了。腳本元素一旦被掛載到主節(jié)點之下,就立即加載并執(zhí)行了。除非定時器開的特別短,能在腳本加載的過程中將其銷毀,或許還能攔截,否則一不留神就錯過了。

我們得尋找更高端的瀏覽器接口,能在元素創(chuàng)建或添加時,進行分析和攔截。

主動防御

在無所不能的 HTML5 里,這當然是能辦到的,它就是 MutationEvent。與其相關的有兩個玩意:一個叫 DOMNodeInserted 的事件,另一個則是 MutationObserver 類。

前者雖然是個事件,但即使阻止冒泡它,或調用 preventDefault 這些方法,仍然無法阻止元素被添加;而后者就不用說了,看名字就是一個觀察器,顯然優(yōu)先級會更低。

MutationEvent 試探

但不管能否實現(xiàn)我們的目標,既然有這么個東西,就先測試看看究竟能有多大的本領。

 
 
 
 
    
  
  
  
  
  1.  
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3.  
    4. 
  
  
  
  
  4.  
    5. 
  
  
  
  
  5.  
    6. 
  
  
  
  
  6.  
    7. 
  
  
  
  
  7. 創(chuàng)建腳本 
    8. 
  
  
  
  
  8.  
    9.

Run

出乎意料的是,MutationObserver 居然能逐一捕捉到頁面加載時產(chǎn)生的靜態(tài)元素,這在過去只能通過定時器才能勉強實現(xiàn)。同時為了更高效的記錄,MutationObserver 并非發(fā)現(xiàn)新元素就立即回調,而是將一個時間片段里出現(xiàn)的所有元素,一起傳過來。這對性能來說是件好事,但顯然會損失一些優(yōu)先級。

再看DOMNodeInserted,它雖然無法捕獲到靜態(tài)元素,但在動態(tài)創(chuàng)建元素時,它比 MutationObserver 更早觸發(fā),擁有更高的優(yōu)先級。

靜態(tài)腳本攔截

接著再來嘗試,能否利用這兩個事件,銷毀可疑的腳本元素,以達到主動攔截的效果。

 
 
 
 
    
  
  
  
  
  1.  
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3.  
    4. 
  
  
  
  
  4.  
    5. 
  
  
  
  
  5.  
    6. 
  
  
  
  
  6.  
    7. 
  
  
  
  
  7. 創(chuàng)建腳本 
    8. 
  
  
  
  
  8.  
    9.

Run

又是一個出人意料的結果,所有靜態(tài)腳本被成功攔截了!

 

然而這并非標準。FireFox 雖然攔截到腳本,但仍然執(zhí)行代碼了。

不過對于預警系統(tǒng)來說,能夠發(fā)現(xiàn)問題也足夠了,可以攔截風險那就再好不過。

動態(tài)腳本攔截

剛剛測試了靜態(tài)腳本的攔截,取得了不錯的成績。但在動態(tài)創(chuàng)建的元素上,和我們先前猜測的一樣,MutationObserver 因優(yōu)先級過低而無法攔截。

那就讓 DOMNodeInserted 來試試:

 
 
 
 
    
  
  
  
  
  1.  
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. 創(chuàng)建腳本 
    4. 
  
  
  
  
  4.  
    5.

Run

遺憾的是,DOMNodeInserted 也沒能攔截動態(tài)腳本的執(zhí)行 —— 盡管能檢測到。經(jīng)過一番嘗試,所有瀏覽器都宣告失敗。

當然,能實時預警已滿足我們的需求了。但若能攔截動態(tài)腳本,整套系統(tǒng)防御力就更高了。

既然無法通過監(jiān)控節(jié)點掛載來攔截,我們不妨換一條路。問題總有解決的方案,就看簡單與否。

屬性攔截

仔細分析動態(tài)腳本創(chuàng)建的所有步驟:

 
 
 
 
    
  
  
  
  
  1. var el = document.createElement('script');  
    2. 
  
  
  
  
  2. el.src = 'http://www.etherdream.com/xss/out.js?dynamic';  
    3. 
  
  
  
  
  3. document.body.appendChild(el); 
    4.

是哪一步觸發(fā)了掛載事件?顯然是最后行。要獲得比它更高的優(yōu)先級,我們只能往前尋找。

既然是動態(tài)創(chuàng)建腳本,賦予它 src 屬性必不可少。如果創(chuàng)建腳本只為賦值 innerHTML 的話,還不如直接 eval 代碼更簡單。

如果能在屬性賦值時進行攔截,那么我們即可阻止賦予可疑的 src 屬性。

類似 IE 有個 onpropertychange 事件,HTML5 里面也是有屬性監(jiān)聽接口的,并且就是剛剛我們使用的那個:MutationEvent。甚至還是那兩套方案:DOMAttrModified 和 MutationObserver。

在根節(jié)點上監(jiān)聽屬性變化,肯定會大幅影響頁面的性能,但我們還是先來看看是否可行。

先嘗試 MutationObserver:

 
 
 
 
    
  
  
  
  
  1. var observer = new MutationObserver(function(mutations) {  
    2. 
  
  
  
  
  2.     console.log(mutations);  
    3. 
  
  
  
  
  3. });  
    4. 
  
  
  
  
  4. observer.observe(document, {  
    5. 
  
  
  
  
  5.     subtree: true,  
    6. 
  
  
  
  
  6.     attributes: true  
    7. 
  
  
  
  
  7. });  
    8. 
  
  
  
  
  8.  
    9. 
  
  
  
  
  9. var el = document.createElement('script');  
    10. 
  
  
  
  
  10. el.src = 'http://www.etherdream.com/xss/out.js?dynamic';  
    11. 
  
  
  
  
  11. document.body.appendChild(el); 
    12.

站外腳本執(zhí)行了,但奇怪的是,回調卻沒有觸發(fā)。原來,我們監(jiān)控的是 document 下的元素,而腳本賦值時還處于離屏狀態(tài),顯然無法將事件冒泡上來。

如果我們先 appendChild 再賦值 src 屬性,倒是可以捕獲到。但現(xiàn)實中調用順序完全不是我們說了算的。

同樣的,DOMAttrModified 也有這問題。

看來,事件這條路的局限性太大,我們得另辟蹊徑。

API 攔截

監(jiān)控屬性賦值的方式肯定不會錯,只是我們不能再用事件那套機制了。

想在修改屬性時觸發(fā)函數(shù)調用,除了事件外,另一個在傳統(tǒng)語言里經(jīng)常用到的、并且主流 JavaScript 也支持的,那就是Setter 訪問器。

當我們設置腳本元素 src 屬性時,理論上說 HTMLScriptElement.prototype.src 這個訪問器將被調用。如果我們重寫這個訪問器,即可在設置腳本路徑時將其攔截。

 
 
 
 
    
  
  
  
  
  1.  
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. 創(chuàng)建腳本 
    4. 
  
  
  
  
  4.  
    5.

Run

如果這套方案可行的話,一切都將迎刃而解。而且我們只監(jiān)聽腳本元素的 src 賦值,其他元素和屬性則完全不受影響,因此性能得到極大提升。

經(jīng)測試,F(xiàn)ireFox 和 IE 瀏覽器完全可行。我們事先保存原始的 setter 變量,然后根據(jù)策略,決定是否向上調用。

 
 
 
 
    
  
  
  
  
  1.  
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. 創(chuàng)建腳本 
    4. 
  
  
  
  
  4.  
    5.

Run

效果非常漂亮,然而現(xiàn)實卻令人遺憾 —— 我們的主流瀏覽器 Chrome 并不支持。由于無法操作原生訪問器,即使在原型鏈上重寫了 setter,實際賦值時仍不會調用我們的監(jiān)控程序。

先不急,若是拋棄原型鏈,直接在元素實例上定義訪問器又會如何?

 
 
 
 
    
  
  
  
  
  1. 創(chuàng)建腳本 
    2. 
  
  
  
  
  2.  
    3.

run

這一回,Chrome 終于可以了。

然而,這僅僅是測試?,F(xiàn)實中哪有這樣的機會,供我們裝上訪問器呢。

因此,我們只能把主動防御的時機再往前推,在元素創(chuàng)建時就調用我們的防御代碼。我們得重寫 createElement 這些能創(chuàng)建元素 API,只有這樣,才能第一時間里,給實例裝上我們的鉤子程序,為 Chrome 實現(xiàn)動態(tài)模塊的防御:

 
 
 
 
    
  
  
  
  
  1.  
    2. 
  
  
  
  
  2.  
    3. 
  
  
  
  
  3. 創(chuàng)建腳本 
    4. 
  
  
  
  
  4.  
    5.

Run

這樣,當元素創(chuàng)建時,就已帶有我們的屬性掃描程序了,Chrome 不支持的問題也迎刃而解。

事實上,除了重寫 property 訪問器,我們還得考慮通過 setAttribute 賦值 src 的情況。因此需整理出一套完善的瀏覽器鉤子程序。

重寫原生 API 看似很簡單,但如何才能打造出一個無懈可擊的鉤子系統(tǒng)呢?明天繼續(xù)講解。


分享文章:針對XSS漏洞的前端防火墻:可疑模塊攔截
鏈接地址:http://www.dlmjj.cn/article/dpieipj.html