首頁 > 文章 > web前端 > 詳解12行JS程式碼的DoS攻擊分析及防禦

詳解12行JS程式碼的DoS攻擊分析及防禦

黄舟原創: 2017-03-08 14:56:141447瀏覽

有一段12行的JavaScript程式碼，可以讓Firefox、Chrome、Safari瀏覽器崩潰，而且還能讓iPhone重啟、安卓閃退，本文作者對這12行程式碼進行了分析解讀並且提出了相應的防禦辦法，歡迎大家一同探討。這裡有一篇關於這12行js程式碼的文章：這十二行程式碼是如何讓瀏覽器爆炸的？

Ajax與pjax

Ajax即「Asynchronous Javascript And XML」（非同步JavaScript和XML），是一種用來建立快速動態網頁的技術。透過在後台與伺服器進行少量資料交換，Ajax可以使網頁實現非同步更新。這意味著可以在不重新載入整個網頁的情況下，對網頁的某部分進行更新無刷新操作。

但是，Ajax應用程式也會造成另外的問題，容易導致瀏覽器無法前進與後退，這是個很頭疼的問題，開發人員必須增加工作量(比如通過一個隱藏的iframe，或者改變location .hash值等方法)來解決。

為了解決傳統Ajax帶來的問題，HTML5裡引入了新的API：history.pushState，它和Ajax結合後，有個新的稱呼是pjax。是一種基於Ajax+history.pushState的新技術，該技術可以無刷新改變頁面的內容，並且可以改變頁面的網址。 pjax是Ajax+pushState的封裝，同時支援本機儲存、動畫等多種功能。目前支援jquery、qwrap、kissy等多種版本。

HTML5.history.pushState

HTML5可以透過pushState和replaceState介面操作瀏覽器歷史，並且改變目前頁面的URL。

pushState是將指定的URL加入到瀏覽器歷史裡，儲存目前歷史記錄點。 replaceState是將指定的URL取代目前的URL。同時，這些方法會和window.onpostate事件一起運作。

history.pushState(data, title, url)：往歷史記錄堆疊頂部新增一筆記錄；data會在onpopstate事件觸發時作為參數傳遞過去；title為頁面標題，目前所有瀏覽器一般都會忽略此參數；URL為頁面位址，可選，預設為目前頁位址。具體細節：

state：對像是一個JavaScript狀態對象，記錄歷史記錄點的額外對象，可以為空。它關係到由pushState()方法建立出來的新的history實體。用以儲存關於你所要插入到歷史記錄的條目的相關資訊。

title：所有瀏覽器一般都會忽略此參數，雖然它可能將來會被使用上。而現在最安全的使用方式是傳一個空字串，以防止將來的修改，或者可以傳遞一個簡短的標題來表示state。

URL：這個參數用來傳遞新的history實體的URL，新的URL必須和現有的URL同域，否則pushState()會拋出例外。這個參數是選填的，如果為空，則會被置為document目前的URL。

十二行程式碼分析

上圖就是十二行程式碼，關鍵點在於針對total這個URL的迴圈：history.pushState(0,0,total)；不停的在修改URL，循環了1,000,000次，不停的向歷史記錄堆疊中新增記錄，會導致CPU和記憶體佔用率過高以及Firefox，Chrome，Safari瀏覽器崩潰，而且還能讓iPhone重啟。

分析結果

在XP虛擬機(i7單核心3.4G、512記憶體) 親自實測：

當上面那個循環次數為十萬以上等級的時候，CPU，記憶體使用率瞬間100%，然後崩潰死機；
當上面那個循環次數縮小到10000左右的時候，CPU，記憶體使用率大概在20秒內逐漸升高至100%，然後崩潰死機；
當上面那個循環次數縮小到500左右的時候， CPU使用率逐漸升高到達100%後，再次瞬間恢復到穩定狀態，記憶體使用從130M左右升高到230M左右，而開啟的192.168.56.106/12.html這個頁後，網址列裡面的連結也變成了：192.168.56.106/012345678910112138910112137891095 98499

可見，透過循環不停的向到歷史記錄堆疊中新增記錄的同時，頁面會刷新到跳轉的新地址，就是循環累加的一個“偽地址”，當這個長度超限的時候，就會引起DOS了，攻擊的效果和效率完全取決於循環的次數和目標的硬體配置。

詳解12行JS程式碼的DoS攻擊分析及防禦

Ajax與pjax

HTML5.history.pushState

十二行程式碼分析

分析結果

相關的防禦

相關文章