Безопасность клиентского кода.
Правильно ли я понимаю, что всякие браузерные расширения, дополнения и юзер-скрипты имеют полный доступ ко всему клиентскому коду? То есть, например, можно заменить метод XMLHttpRequest.prototype.send и совершенно прозрачно случать запросы?
Хотелось бы узнать, как с этим делом обстоит у разнах браузеров? |
и даже скрипты подгружаемые с другого сайта
одинаково |
Причем сначала выполняется код расширений, а затем код страницы, так?
|
незадумывался никогда.
но если сначало отрабатывает код расширений, то думаю скрипт мог бы проверить интерисубщие его обьекты на безопасность. Думаю отличить нативную функция от скиптовой труда не составит.
alert(alert);
alert( function(){alert(100) });
var x=function(){alert(100)};
alert(x.toString().length);
if ( test(x,23) ) alert ('функцию подменили');
else alert('функция в порядке');
var x=function(){alert(100500)};
if ( test(x,23) ) alert ('функцию подменили');
else alert('функция в порядке');
function test(f,c){
return f.toString().length!=c;
}
|
Цитата:
|
Цитата:
Цитата:
var replaceNativeFunction = new function (){
var functionList = [],
originalList = [];
function replaceNativeFunction( object, methodName, newMethod ){
functionList.push( newMethod );
originalList.push( object[ methodName ] );
object[ methodName ] = newMethod;
};
replaceNativeFunction.getOriginal = function ( method ){
var index = functionList.indexOf( method );
return originalList[ index ];
};
replaceNativeFunction( Function.prototype, "toString", function ToString(){
if( this.toString == ToString )
return replaceNativeFunction.getOriginal( ToString ).call( replaceNativeFunction.getOriginal( this ) );
return this.toString();
} );
return replaceNativeFunction;
};
replaceNativeFunction( window, "alert", function newAlert( message ){
var originalAlert = replaceNativeFunction.getOriginal( newAlert );
originalAlert( message );
originalAlert( "Trololo!!!" );
} );
alert( alert.toString() );
|
Цитата:
var x=function(){alert(100)};
var old=x, x=function(){alert(100500)};
x.toString = function() {
return old.toString();
}
alert( x.toString() );
x();
|
есть идеи лучше ?
и кстатии devote
var x=function(){alert(100)};
var old=x, x=function(){alert(100500)};
x.toString = function() {
return old.toString();
}
alert( x.toString );
|
Навскидку все встроенные функции приводятся к строке вида
function send() {
[native code]
}
С точностью до пробела, и возможно имени функции. Проверяйте так. Только используйте встроенный в Object метод toString Хотя и его могут подменить Но в случае подмены скрипта плагином, вы все равно навряд ли где-то найдете оригинальную функцию |
Цитата:
Цитата:
|
Цитата:
var x=function(){alert(100)};
// -------
var old=x, x=function(){alert(100500)};
x.toString = function() {
return old.toString();
}
x.toString.toString = x.toString;
// -------
alert( x.toString );
alert( x.toString.toString );
alert( x.toString.toString.toString );
alert( x );
x();
|
Чо ты завёлся, никто и не сомневается что могёш )))
и насчёт бредовых идей ты зря, есть такая штука как гипотеза. И более того с чего ты взял что все зловреды заменяют toString ? Cо временем научатся конечно, но пока им это нафик ненадо :) кстатии ещё о гипотезах. Данные мало украсть их же ещё и отослать нужно, в связи с этом вопрос: можно ли посчитать количество запросов из браузера ? И если их количество отличается от того которое делает наш скрипт, вывести предупреждение что возможно данные уплыли ??? Сам пока невижу возможности это сделать :( . |
Цитата:
function send() {
[native code]
}
function send () {
[native code]
}
|
Цитата:
Цитата:
а насчет toString вот небольшой метод, который легко заменит метод и фиг ты узнаешь по toString что это нативный или нет. Вот вам защита
function replace_method( context, method, fn ) {
var old = context[ method ];
if ( old.toString === Function.prototype.toString ) {
fn.toString = function() { return old.toString() }
fn.toString.toString = function() { return old.toString.toString() }
fn.toString.toString.toString = fn.toString.toString;
} else {
fn.toString = old.toString;
}
return context[ method ] = fn;
}
// ================ проверка =====================
var x=function(){alert(100)};
x.toString = function() {
return 'This is my lib method';
}
// ------- меняем метод -------
x = replace_method( window, 'x', function(){
alert( 100500 );
});
// -------
alert( x.toString );
alert( x.toString.toString );
alert( x.toString.toString.toString );
alert( x.toString.toString.toString.toString );
alert( x.toString.toString.toString.toString.toString );
alert( x.toString.toString.toString.toString.toString.toString );
alert( x );
x();
// -------- второй вариант без пользовательского toString -----------
var y=function(){alert(200)};
// ------- меняем метод -------
y = replace_method( window, 'y', function(){
alert( 200500 );
});
// -------
alert( y.toString );
alert( y.toString.toString );
alert( y.toString.toString.toString );
alert( y.toString.toString.toString.toString );
alert( y.toString.toString.toString.toString.toString );
alert( y.toString.toString.toString.toString.toString.toString );
alert( y );
y();
// ------- меняем метод -------
replace_method( window, 'alert', (function( org ) {
return function(){
org.call( this, ["Привет: "].concat( [].slice.call( arguments ) ) );
}
})( window.alert ));
// -------
alert( y.toString );
alert( y.toString.toString );
alert( y.toString.toString.toString );
alert( y.toString.toString.toString.toString );
alert( y.toString.toString.toString.toString.toString );
alert( y.toString.toString.toString.toString.toString.toString );
alert( y );
y();
|
Третий концепт.
Я расматриваю это как разминку для ума) Рассмотрю поэтапам. передача данных, допустим обьект data 1) функция шифрует data, допустим превращает data в json, и дальше преобразовывает уже текст, допустим заменяет символы числами, а числа записывает задом наперёд. Это неважно сейчас совершенно, главное чтобы преобразования были обратимыми. И в шифровании недолжно быть ключа, просто трансформация текста по какому то алгоритму. 2) Происходит, передача XMLRequest, который переписан каким то плагином, уходит две копии закодированных данных, одна на наш серв, вторая подлому хацкеру. 3) На нашем серве, есть код который получив эту абракодабру, в обратном порядке выполняет действия и получает исходный json. 4) Хацкер получает цифробуквенную кракозябру, отчего произнося множество неприличных слов идёт ковырять шифровалку на наш сайт. Допустим он её расковыряет, и напишет дешифратор. Но если он шпиёнит за многими сайтами, то написать декодер для каждого сайта он не сможет. Тобиш хацкера это не остановит, но жизнь усложнит адово, мониторить XML запросы у множество сайтов будет плагином просто невозможно. Понятно что для vkontakte или одноклассников решение непобходит. Для окончательного выноса мозга можно автоматом генирировать новые алгоритмы, каждый день, или персонально для каждой сессии. Всё вышеописанное совершенно немешает забирать информацию из DOM или юзать куки |
devote, твою "защиту" (в кавычках, потому что в контексте сабжа это скорее нападение) легко выявить, проверив свойсво "toString" у метода.
alert.hasOwnProperty( "toString" ) // должно быть false Но вроде как уже очевидно, что нативный метод от переделанного никак не отличишь, если переделать Function.prototype.toString. DjDiablo, дело не в хацкерах. Тут логика понятна: сам расширение поставил - сам дурак. У меня другая проблема: не дать пользователю самому (по его собственному желанию) влезть в логику приложения. |
Цитата:
// 1. создаём фрейм.
var frame = document.createElement("iframe");
// 2. тырим из него toString
var orig_toString = frame.contentWindow.Function.toString;
// 3. это объект, у которого заменён toString.
var myEvilObj = { toString: function () { return "WHAHAHA"; } };
// 4. если результаты их действия одинаковы, то никто ничего не заменял.
var isReplaced = orig_toString.call(myEvilObj) !== myEvilObj.toString();
// и так же параноить со всеми методами :)
|
melky, инспектор элементов в firebug позволяет просматривать элементы внутри iframe на другом домене, что как бы намекает, что дополнение исполняется и в iframe.
|
Если отойти от темы скриптов, помешать желанию пользователя, то наверного максимум возможного, это святая троица
обфускация + локальные переменные функции + eval
<script>
codes='(function(){var x=100;alert(x);y=200;})()';
eval (codes);
</script>
И хрен вы сударь из консоли узнаете чему у вас Y равен, или x измените. Кстати никакой скрипт до этих переменных тоже недоберётся. |
Вопрос к Т.С как много народа использует ваш сайт?
Цитата:
не будет ли в итоге 0.000000000000000000....1% вероятность ,чтоб заморачиватся на этом? Да и есть другой момент-цель зловредов получить информацию почти во всех случаях, а не изменять методы браузера,и получить информацию помешать вы никак не сможете . Так что вектор вашего вопроса, как минимум, не верный. |
dmitriymar, давайте рассматривать тему, как чисто теоретическую. Если некоторая проблема, пусть сферическая и в вакууме, но которую я хочу решить. Назовем мой интерес чисто академическим:)
|
DjDiablo, не очень понимаю, причем тут eval, но обфускация и выполнение кода внутри функции - это само собой разумеющееся. Меня больше волнует то, что не скроешь. В частности, святая троица: пользовательский ввод + DOM + запросы.
|
Кстатии, раз уж внедрённые плагинами скрипты, это всётаки скрипты, то нельзя ли их выпилить со страницы силами javascript'а ?.
<!DOCTYPE HTML>
<html>
<head> </head>
<body>
<script>
scr=document.getElementsByTagName('script');
console.log(scr);
//чото делаем с scr[0];
</script>
</body>
</html>
eval на отладку влияет. Выяснить где произошла ошибка, или или сделать в отладчике breakpoint, почти нереально.
<!DOCTYPE HTML>
<html>
<head> </head>
<body>
<script>
t="alert(1);";
t+="alert(2);";
t+="alert(" ;
eval (t);
</script>
</body>
</html>
|
Цитата:
Цитата:
|
Цитата:
|
Цитата:
тока не: frame.contentWindow.Function.toStringа вот: frame.contentWindow.Function.prototype.toString |
Цитата:
// 1. создаём фрейм.
var frame = document.createElement("iframe");
document.documentElement.appendChild( frame );
// 2. тырим из него toString
var Func_toString = frame.contentWindow.Function.prototype.toString; // для проверки функций
var Obj_toString = frame.contentWindow.Object.prototype.toString; // для проверки объектов
// 3. это объект, у которого заменён toString.
var myEvilObj = { toString: function () { return "WHAHAHA"; } };
// 3.1. это функция у которой сменили
var x = function() {}
x.toString = function() { return "lalala" }
// 4. если результаты их действия одинаковы, то никто ничего не заменял.
alert( Obj_toString.call(myEvilObj) !== myEvilObj.toString() ); // true - заменили
alert( Func_toString.call(x) !== x.toString() ); // true - заменили
var y = function() {}
alert( Func_toString.call(y) !== y.toString() ); // false - не заменяли
|
Цитата:
да и какая разница, собственно ? :) alert(Function.prototype.toString === Function.toString); Цитата:
|
Цитата:
|
Цитата:
Цитата:
|
Цитата:
|
Цитата:
Сорри но чем createElement или .appendChild от toString отличается ? что мешает подменить и их ?
<html>
<head>
</head>
<body>
<!-- здесь прячется зловред -->
<script>
//тело зловреда спрячем полностью в замыкании;
(function(){
// метод crack общий для window и всех фреймов,
// даже если frame создаст фрейм, это непоможет
function crack(target){
var realCreateElement=target.document.createElement;
target.Function.prototype.toString=function(){
return 'trololo';
}
target.Object.prototype.toString=function(){
return 'trololo';
}
target.document.createElement=function(param){
var result=realCreateElement.apply(target.document,arguments);
if (param== 'iframe'){
target.document.documentElement.appendChild( result );
crack(result.contentWindow);
}
return result;
};
}
crack(window);
})();
</script>
<!-- А здесь мы обманули всех при помощи фрейма -->
<script>
// 1. создаём фрейм.
var frame = document.createElement("iframe");
document.documentElement.appendChild( frame );
// 2. тырим из него toString
var Func_toString = frame.contentWindow.Function.prototype.toString; // для проверки функций
var Obj_toString = frame.contentWindow.Object.prototype.toString; // для проверки объектов
alert (Func_toString.apply("isu98") );
alert (Obj_toString.apply("isu98") );
</script>
</body>
</html>
|
Цитата:
var bad = function () { return "LOL"; }; // so sarcastic
// все они не помечены как readonly, но некоторые из них FF их менять не хочет.
// в хроме всё взламывается :)
document.createElement = Document.prototype.createElement = bad;
HTMLElement.prototype.insertAdjacentHTML = bad;
alert(document.createElement); // :((
// начинаем мстить.
// 1. получаем ГО - обычный window может прокатить :
var win = window;
// window.document -> readonly!
// 2. получаем document.
var doc = win.document; // в doc - тёплый и мягкий экземпляр Document.
// document.body -> readonly!
// 3. получаем наконец-то элемент
var body = doc.body;
// 4. меняем innerHTML (надо бы менять не body'евский, а чей-нибудь другой)
// и прокалываем фрейму ухо, чтобы можно было его опознать.
var id = "secret_" + (Math.random()*1e6|0);
body.innerHTML += '<iframe id="' + id + '"></iframe>';
// document.body.children -> readonly!
// 5. проходимся по детям и находим наш фрейм.
var myFrame;
for (var i = 0; i < body.children.length; i++) {
if (body.children[i].id === id) {
myFrame = body.children[i];
break;
}
}
// 6. PROFIT!!!
var normalWindow = myFrame.contentWindow;
var normalDocument = normalWindow.document;
alert( normalDocument.createElement );
|
Цитата:
var frame = document.createElement("iframe");
document.documentElement.appendChild( frame );
alert( frame.parentNode );
var frame = document.createElement("iframe");
// если он тут есть, значит метод createElement подменили
// тут можно смело останавливать программу и слать всех лесом.
alert( frame.parentNode );
|
Цитата:
поэтому и написал что appendChild можно подменить тоже. В этом случае кряку применять appendChild самому нет никакой надобности. Достаточно дождаться пока жертва воспользуется нашей обёрткой думая что это appendChild, и подсунуть свои методы в фрейм. А вот melkiy в ответ на критику алгоритм улучшил серьёзно. Появилось новое поле для размышлений. |
Цитата:
Object.freeze( Object.prototype );
Object.prototype.toString = function() {
return false;
};
alert( {} );
|
| Часовой пояс GMT +3, время: 04:56. |