詳解12行JS程式碼的DoS攻擊分析及防禦-js教程-PHP中文網

首頁

web前端

js教程

詳解12行JS程式碼的DoS攻擊分析及防禦

黄舟

Mar 08, 2017 pm 02:56 PM

有一段12行的JavaScript程式碼，可以讓Firefox、Chrome、Safari瀏覽器崩潰，而且還能讓iPhone重啟、安卓閃退，本文作者對這12行程式碼進行了分析解讀並且提出了相應的防禦辦法，歡迎大家一同探討。這裡有一篇關於這12行js程式碼的文章：這十二行程式碼是如何讓瀏覽器爆炸的？

Ajax與pjax

Ajax即「Asynchronous Javascript And XML」（非同步JavaScript和XML），是一種用來建立快速動態網頁的技術。透過在後台與伺服器進行少量資料交換，Ajax可以使網頁實現非同步更新。這意味著可以在不重新載入整個網頁的情況下，對網頁的某部分進行更新無刷新操作。

但是，Ajax應用程式也會造成另外的問題，容易導致瀏覽器無法前進與後退，這是個很頭疼的問題，開發人員必須增加工作量(比如通過一個隱藏的iframe，或者改變location .hash值等方法)來解決。

為了解決傳統Ajax帶來的問題，HTML5裡引入了新的API：history.pushState，它和Ajax結合後，有個新的稱呼是pjax。是一種基於Ajax+history.pushState的新技術，該技術可以無刷新改變頁面的內容，並且可以改變頁面的網址。 pjax是Ajax+pushState的封裝，同時支援本機儲存、動畫等多種功能。目前支援jquery、qwrap、kissy等多種版本。

HTML5.history.pushState

HTML5可以透過pushState和replaceState介面操作瀏覽器歷史，並且改變目前頁面的URL。

pushState是將指定的URL加入到瀏覽器歷史裡，儲存目前歷史記錄點。 replaceState是將指定的URL取代目前的URL。同時，這些方法會和window.onpostate事件一起運作。

history.pushState(data, title, url)：往歷史記錄堆疊頂部新增一筆記錄；data會在onpopstate事件觸發時作為參數傳遞過去；title為頁面標題，目前所有瀏覽器一般都會忽略此參數；URL為頁面位址，可選，預設為目前頁位址。具體細節：

state：對像是一個JavaScript狀態對象，記錄歷史記錄點的額外對象，可以為空。它關係到由pushState()方法建立出來的新的history實體。用以儲存關於你所要插入到歷史記錄的條目的相關資訊。

title：所有瀏覽器一般都會忽略此參數，雖然它可能將來會被使用上。而現在最安全的使用方式是傳一個空字串，以防止將來的修改，或者可以傳遞一個簡短的標題來表示state。

URL：這個參數用來傳遞新的history實體的URL，新的URL必須和現有的URL同域，否則pushState()會拋出例外。這個參數是選填的，如果為空，則會被置為document目前的URL。

十二行程式碼分析

上圖就是十二行程式碼，關鍵點在於針對total這個URL的迴圈：history.pushState(0,0,total)；不停的在修改URL，循環了1,000,000次，不停的向歷史記錄堆疊中新增記錄，會導致CPU和記憶體佔用率過高以及Firefox，Chrome，Safari瀏覽器崩潰，而且還能讓iPhone重啟。

分析結果

在XP虛擬機(i7單核心3.4G、512記憶體) 親自實測：

當上面那個循環次數為十萬以上等級的時候，CPU，記憶體使用率瞬間100%，然後崩潰死機；
當上面那個循環次數縮小到10000左右的時候，CPU，記憶體使用率大概在20秒內逐漸升高至100%，然後崩潰死機；
當上面那個循環次數縮小到500左右的時候， CPU使用率逐漸升高到達100%後，再次瞬間恢復到穩定狀態，記憶體使用從130M左右升高到230M左右，而開啟的192.168.56.106/12.html這個頁後，網址列裡面的連結也變成了：192.168.56.106/012345678910112138910112137891095 98499

可見，透過循環不停的向到歷史記錄堆疊中新增記錄的同時，頁面會刷新到跳轉的新地址，就是循環累加的一個“偽地址”，當這個長度超限的時候，就會引起DOS了，攻擊的效果和效率完全取決於循環的次數和目標的硬體配置。

相關的防禦

相信大家的安全意識已經非常的強悍了，但是還是要警鐘長鳴，不要輕信任何陌生人透過任何方式發給你的連結、附件、郵件、圖片等任何訊息，當然不排除好基友們、損友們的惡作劇了，所以小伙伴兒們記得經常Ctrl+S哦，否則被搞死機了也會很鬱悶的。

互聯網自誕生之日起，就暴露在黑客攻擊之下，早期的黑客攻擊多少還帶有技術試驗和炫耀的目的，但隨著全球互聯網基礎設施規模的壯大、連接的無限增長和用戶數的急劇膨脹，駭客攻擊頻率也相應增加，駭客技術也在不斷的發展，逐漸出現了以非法獲取經濟利益為目的的黑色產業鏈。針對網路安全防護的技術水準更是突飛猛進，道高一尺魔高一丈，攻與防，在這個網路時代每分每秒都正在發生著。

當然，網路充滿資訊安全威脅，網路安全防護，七分靠技術，三分靠意識，要防護這些問題，單純依靠安全廠商的產品和服務是遠遠不夠的，網路安全意識的提高不可忽視。

例如：注意個人密碼的管理、注意個人隱私的保護、不要輕易接入公共的wifi、不要輕易相信陌生/熟悉朋友的連結或文件等、注意行動支付的安全、不要讓設備「裸奔」等等。

以上是詳解12行JS程式碼的DoS攻擊分析及防禦的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

JavaScript在行動中：現實世界中的示例和項目Apr 19, 2025 am 12:13 AM

JavaScript在現實世界中的應用包括前端和後端開發。 1)通過構建TODO列表應用展示前端應用，涉及DOM操作和事件處理。 2)通過Node.js和Express構建RESTfulAPI展示後端應用。

JavaScript和Web：核心功能和用例Apr 18, 2025 am 12:19 AM

JavaScript在Web開發中的主要用途包括客戶端交互、表單驗證和異步通信。 1)通過DOM操作實現動態內容更新和用戶交互；2)在用戶提交數據前進行客戶端驗證，提高用戶體驗；3)通過AJAX技術實現與服務器的無刷新通信。

了解JavaScript引擎：實施詳細信息Apr 17, 2025 am 12:05 AM

理解JavaScript引擎內部工作原理對開發者重要，因為它能幫助編寫更高效的代碼並理解性能瓶頸和優化策略。 1)引擎的工作流程包括解析、編譯和執行三個階段；2)執行過程中，引擎會進行動態優化，如內聯緩存和隱藏類；3)最佳實踐包括避免全局變量、優化循環、使用const和let，以及避免過度使用閉包。

Python vs. JavaScript：學習曲線和易用性Apr 16, 2025 am 12:12 AM

Python更適合初學者，學習曲線平緩，語法簡潔；JavaScript適合前端開發，學習曲線較陡，語法靈活。 1.Python語法直觀，適用於數據科學和後端開發。 2.JavaScript靈活，廣泛用於前端和服務器端編程。

Python vs. JavaScript：社區，圖書館和資源Apr 15, 2025 am 12:16 AM

Python和JavaScript在社區、庫和資源方面的對比各有優劣。 1)Python社區友好，適合初學者，但前端開發資源不如JavaScript豐富。 2)Python在數據科學和機器學習庫方面強大，JavaScript則在前端開發庫和框架上更勝一籌。 3)兩者的學習資源都豐富，但Python適合從官方文檔開始，JavaScript則以MDNWebDocs為佳。選擇應基於項目需求和個人興趣。

從C/C到JavaScript：所有工作方式Apr 14, 2025 am 12:05 AM

從C/C 轉向JavaScript需要適應動態類型、垃圾回收和異步編程等特點。 1）C/C 是靜態類型語言，需手動管理內存，而JavaScript是動態類型，垃圾回收自動處理。 2）C/C 需編譯成機器碼，JavaScript則為解釋型語言。 3）JavaScript引入閉包、原型鍊和Promise等概念，增強了靈活性和異步編程能力。

JavaScript引擎：比較實施Apr 13, 2025 am 12:05 AM

不同JavaScript引擎在解析和執行JavaScript代碼時，效果會有所不同，因為每個引擎的實現原理和優化策略各有差異。 1.詞法分析：將源碼轉換為詞法單元。 2.語法分析：生成抽象語法樹。 3.優化和編譯：通過JIT編譯器生成機器碼。 4.執行：運行機器碼。 V8引擎通過即時編譯和隱藏類優化，SpiderMonkey使用類型推斷系統，導致在相同代碼上的性能表現不同。