12行代碼的瀏覽器DoS攻擊分析及防御
有一段12行的JavaScript代碼,可以讓firefox、chrome、safari瀏覽器崩潰,而且還能讓iphone重啟、安卓閃退,本文作者對于該12行代碼進行了分析解讀并且提出了相應的防御辦法,歡迎大家一同探討。
ajax與pjax
AJAX(阿賈克斯),這里說的可不是阿賈克斯俱樂部哦!
AJAX(阿賈克斯)即“Asynchronous Javascript And XML”(異步JavaScript和XML),是一種用于創建快速動態網頁的技術。通過在后臺與服務器進行少量數據交換,AJAX可以使網頁實現異步更新。這意味著可以在不重新加載整個網頁的情況下,對網頁的某部分進行更新-無刷新操作。
但是,ajax應用也會造成另外的問題,容易導致瀏覽器無法前進與后退,這是個很頭疼的問題,開發人員必須增加工作量(比如通過一個隱藏的iframe,或者改變location.hash值等方法)來解決。
為了解決傳統ajax帶來的問題,HTML5里引入了新的API:history.pushState,它和ajax結合后,有個新的稱呼是pjax。是一種基于ajax+history.pushState的新技術,該技術可以無刷新改變頁面的內容,并且可以改變頁面的URL。pjax是ajax+pushState的封裝,同時支持本地存儲、動畫等多種功能。目前支持jquery、qwrap、kissy等多種版本。
HTML5.history.pushState
HTML5可以通過pushState和replaceState接口操作瀏覽器歷史,并且改變當前頁面的URL。
pushState是將指定的URL添加到瀏覽器歷史里,存儲當前歷史記錄點。replaceState是將指定的URL替換當前的URL。同時,這些方法會和window.onpostate事件一起工作。
history.pushState(data, title, url):往歷史記錄堆棧頂部添加一條記錄;data會在onpopstate事件觸發時作為參數傳遞過去;title為頁面標題,當前所有瀏覽器一般都會 忽略此參數;url為頁面地址,可選,缺省為當前頁地址。具體細節:
state–對象是一個JavaScript狀態對象,記錄歷史記錄點的額外對象,可以為空。它關系到由pushState()方法創建出來的新的history實體。用以存儲關于你所要插入到歷史記錄的條目的相關信息。
title—所有瀏覽器一般都會 忽略此參數,雖然它可能將來會被使用上。而現在最安全的使用方式是傳一個空字符串,以防止將來的修改,或者可以傳一個簡短的標題來表示state。
URL—這個參數用來傳遞新的history實體的URL,新的url必須和現有的url同域,否則pushState()將拋出異常。這個參數是選填的,如果為空,則會被置為document當前的url。
上圖就是十二行代碼,關鍵點在于針對total這個url的循環:history.pushState(0,0,total);不停的在修改url,循環了1000000次,不停的向歷史記錄堆棧中新增記錄,會導致CPU和內存占用率過高以及firefox,chrome,safari瀏覽器崩潰,而且還能讓iPhone重啟。
在XP虛擬機(i7單核3.4G、512內存) 親自實測:
- 當上面那個循環次數為十萬以上級別的時候,CPU,內存使用率瞬間100%,然后崩潰死機;
- 當上面那個循環次數縮小到10000左右的時候,CPU,內存使用率大概在20秒內逐漸升高至100%,然后崩潰死機;
- 當上面那個循環次數縮小到500左右的時候, CPU使用率逐漸升高到達100%后,再次瞬間恢復到穩定狀態,內存使用從130M左右升高至230M左右,而打開的192.168.56.106/12.html這個頁面后,地址欄里面的鏈接也變成了:http://192.168.56.106/0123456789101112131415161718192021…… 494495496497498499
可見,通過循環不停的向向歷史記錄堆棧中新增記錄的同時,頁面會刷新到跳轉的新地址,就是循環累加的一個“偽地址”,當這個長度超限的時候,就會引起dos了,攻擊的效果和效率完全取決于循環的次數和tagret的硬件配置。
相關的防御
相信大家的安全意識已經非常的強悍了,但是還是要警鐘長鳴,不要輕信任何陌生人通過任何方式發給你的鏈接、附件、郵件、圖片等任何信息,當然不排除好基友們損友們的惡作劇了,所以小伙伴兒們記得經常Ctrl+S哦,否則被搞死機了也會很郁悶的。
互聯網自誕生之日起,就暴露在黑客攻擊之下,早期的黑客攻擊多少還帶有技術試驗和炫耀的目的,但隨著全球互聯網基礎設施規模的壯大、連接的無限增長和用戶數的急劇膨脹,黑客攻擊頻率也相應增加,黑客技術也在不斷的發展,逐漸出現了以非法獲取經濟利益為目的的黑色產業鏈。針對互聯網安全防護的技術水平更是突飛猛進,道高一尺魔高一丈,攻與防,在這個互聯網時代每分每秒都正在發生著。
網絡安全的防護,七分靠技術,三分靠意識,要防護這些問題,除了依靠安全廠商的產品和服務,還需要不斷提高網絡安全意識。比如:注意個人密碼的管理、注意個人隱私的保護、不要輕易接入公共的wifi、不要輕易相信陌生/熟悉朋友的鏈接或者文件等、注意移動支付的安全、不要讓設備“裸奔”等等
