動態JavaScript
JavaScript代碼很多時候會通過服務器端的帶啊名來動態地組合到一起。在這個組合的過程中,與用戶相關的信息會保存到這些JavaScript的代碼中。當將這個JavaScript腳本傳送到浏覽端的時候,客戶端的JavaScript會立即投入使用。但是實際情況是,這些腳本很有可能會被第三方的所引入,而引入這些腳本是沒有同源策略的限制的。因此,一個被攻擊者所控制的網頁很有可能同樣被包含引入動態生成的JavaScript腳本然後觀察這個腳本的執行情況以及可能存在的安全的問題。由於通過src方式導入的所有的JavaScript腳本和本地的腳本都是會共享全局變量的。因而,如果這樣的一個動態腳本包含了用戶的隱私數據,那麼攻擊者就通過引入這個腳本的方式就能夠訪問到這些數據。這種方式也被稱之為跨站腳本包含(XSSI)。
JavaScript的語言特性
在動態Javacript的危害中主要是涉及到JavaScript的作用域、原型鏈繼承這2個特性。
作用域的問題
JavaScript作用域的問題相信很多人都有所了解,不了解可以通過網上搜索看看。不像Java、C++這樣的語言是存在塊級作用域的,JavaScript僅僅是存在函數作用域。這就意味著JavaScript引擎會為每一個函數分配一個作用域。在函數內部中定義的變量所在的作用域就是在函數內,這種作用域就叫做本地作用域。下面的代碼就很清楚地說明了全局作用域與本地作用域的區別。
原型鏈
在JavaScript中,每個創建的函數都有一個prototype(原型)屬性,這個屬性是一個指針,指向一個對象,而這個對象的用途是包含可以由特定類型的所有實例共享的屬性和方法。在JavaScript中主要是通過原型鏈的方式作為繼承的主要方法。其基本思想是利用原型讓一個應用類型繼承另一個應用類型的屬性和方法。當訪問一個對象的屬性的時候,JavaScript就去判斷當前這個對象本身是否含有這個屬性,如果不存在就在對象的原型屬性中尋找。
攻擊方式
由於HTM中的script標簽不受同源策略的影響。因而腳本資源能夠導入到跨域的頁面當中。雖然跨域的頁面不能夠直接訪問到這些腳本的源代碼,但是導入這個腳本之後可以觀察這個腳本在頁面中的執行情況。如果這樣的一個動態腳本包含有用戶的隱私數據,那麼這種方式就有可能洩漏用戶的數據。
基於全局變量的攻擊
當導入的JavaScrpit中創建了一個全局變量,這個全局變量也是可以被頁面中的JavaScript代碼所訪問的。因此如果一個動態腳本將用戶的隱私數據賦值給了一個全局變量,那麼攻擊者就可以通過全局變量就可以訪問到這個數據了。
假設在正常的腳本leak.js中的JavaScript代碼如下:
(function() { window.secret = "345a8b7c9d8e34f5"; })();
可以看到,此腳本中將用戶的隱私數據賦值給了windows全局變量。
惡意站點的代碼為:
<script src="http://www.good.com/leak1.js"></script> <script> var user_data= window.secret; // send user data to hacker sendstolendata(user_data); </script>
當用戶訪問到了含有上面的惡意代碼的網站的時候,此網站就會通過window對象來獲取用戶數據然後發送給攻擊者。
重新定義全局API攻擊
由於JavaScript的動態性,導致很多的函數能夠被攻擊者重寫,即使是那些JavaScript內置的函數。如果一個動態的JavaScript腳本通過一個系統中內置函數來傳遞隱私數據,那麼攻擊者在這個函數調用之前通過重寫這個函數,就可以獲取到用戶的隱私數據了。
假設在正常的腳本leak.js中的JavaScript的代碼如下:
(function() { var secret = "345a8b7c9d8e34f5"; JSON.stringify(secret); })();
可以發現,在這個代碼中,調用了JavaScript語言中自帶了的JSON.sttringify()
的方法。而這個方法完全是可以被黑客所利用的。
以下是惡意站點中的代碼:
<script type="text/javascript"> JSON.stringify = function (user_data) { sendstolendata(user_data); } </script> <script type="text/javascript" src="http://www.good.com/leak.js"></script>
當用戶訪問此站點的時候,由於JSON.strinify()
方法已經被攻擊者重寫了,所以當導入的leak.js的中的代碼執行,調用JSON.stringify()
的方法的時候,實際上調用的是攻擊者所寫的方法。這樣用戶的信息就會被竊取了。
原型篡改
正如之前說過的一樣,javaScript是基於原型鏈的。當訪問對象的一個屬性的時候,JavaScript解釋器會通過原型鏈來進行尋找,直到找到這個屬性為止。在下面的這段代碼中,我們就會對這個問題有一個清晰的認識了。
假設在正常的腳本leak.js中的JavaScript的代碼如下:
(function(){ var arr = ["secret1","secret2","secret3"]; var x = arr.slice(); })();
從代碼中可以看到,在arr數組中存在了3個與用戶有關的隱私數據。然後arr實例調用了slice()
方法。很明顯這個方法是不存在的。因為arr實例本身沒有創建和聲明這個方法,同時在Array對象中也沒有這個方法。但是當出現一個這樣的情況的時候,程序並沒有報錯,只是說明這個slice
方法不存在而已。所以在這樣的情況下,可能程序員也並不知道他所創建的arr實例有調用slice()這樣的一個方法。那麼上面的這段代碼就很有可能會被攻擊者所利用。
以下是惡意站點的代碼:
<script type="text/javascript"> Array.prototype.slice = function() { //send data to attacker sendToAttackBackend(this); } </script> <script type="text/javascript" src="http://www.good.com/leak.js"></script>
當用戶訪問到這個含有惡意代碼的網站的時候,導入的leak.js中的JavaScript要執行slice
方法執行的時候,就會調用攻擊者為Array添加的slice
方法,這樣敏感數據就會發送到攻擊者了。
防范
開發人員在進行網站開發的時候,最好是將代碼與數據分開。敏感和重要的數據應該保存在單獨的文件中,這樣這些文件就不會被浏覽器當作JavaScript來執行了。同時還需要為這些靜態資源設置訪問權限,只要在用戶登錄之後才可以訪問,在這種情況下攻擊者即使引入了這個靜態資源也無法訪問這個數據。
總結
以上就是關於動態JavaScript所造成危害的全部內容了,希望這篇文章能對大家的學習或者工作帶來一定的幫助,如果有疑問大家可以留言交流。