标签:攻防 rawFn const JS prototype Hook performance apply now
思考题
现有一款浏览器安全插件,会对所有页面的 Performance API 进行 Hook,以降低 JS 获取的时间精度,减少边信道攻击的风险。
该插件会把如下代码注入到页面最开始:
(function() {
const obj = performance
const rawFn = Performance.prototype.now
Performance.prototype.now = function() {
const val = rawFn.apply(obj, arguments)
return ((val * 10) | 0) / 10
}
})()
performance.now() // 11346.9
performance.now() // 12242.1
// 注:原始的 performance.now() 可获得小数点后多位
此外,包括 iframe 等子页面也会被注入该代码。
现在来思考,如何绕过这种防护方案,从而获得原生 performance.now 接口。(同时不损坏业务逻辑)
攻
重写后的逻辑很简单,显然只能从 rawFn.apply
这里入手。
熟悉前端的应该都知道原型链的概念,例如 rawFn.apply === Function.prototype.apply
,前者只是后者的一个引用而已。
所以,攻击者可重写 Function.prototype.apply
函数,然后故意调用一下 performance.now
,触发 rawFn.apply
,于是进入我们的 apply 函数。其中的 this
即 rawFn,就是我们想要的结果!
最后再将 Function.prototype.apply
恢复,不影响后续业务逻辑。
var rawApply = Function.prototype.apply
var rawNow
Function.prototype.apply = function() {
rawNow = this
}
performance.now()
Function.prototype.apply = rawApply
console.log('获得原始接口:', rawNow)
防
作为插件的开发者,又该如何防范这种攻击?
显然,不能使用 rawFn.apply
这种潜在副作用的操作。ES6 提供了 Reflect API,可以更加原子地实现各种操作。
例如 document.createElement('DIV')
,通过 Reflect
可这样调用:
Reflect.apply(document.createElement, document, ['DIV'])
由于 Reflect
下的方法都是静态方法,因此可将其备份到闭包内部的变量里,之后直接使用:
(function() {
const apply = Reflect.apply
const result = apply(document.createElement, document, ['DIV'])
console.log(result)
})()
这样,即使攻击者重写了 Reflect.apply
,我们也不受影响!
进一步,我们可将所有变量都提前备份,完全不依赖全局变量:
(function() {
const document = window.document
const createElement = document.createElement
const apply = Reflect.apply
const result = apply(createElement, document, ['DIV'])
// ...
})()
换成本文开头的案例:
(function() {
const obj = performance
const rawFn = performance.now
const apply = Reflect.apply
Performance.prototype.now = function() {
const val = apply(rawFn, obj, [])
return ((val * 10) | 0) / 10
}
})()
标签:攻防,rawFn,const,JS,prototype,Hook,performance,apply,now 来源: https://www.cnblogs.com/index-html/p/js-hook-offense-defense.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。