JS 코드 12줄의 DoS 공격 분석 및 방어에 대한 자세한 설명

黄舟
풀어 주다: 2017-03-08 14:56:14
원래의
1460명이 탐색했습니다.

Firefox, Chrome, Safari 브라우저를 충돌시킬 수 있고 iPhone을 다시 시작하고 Android를 충돌시킬 수도 있는 12줄의 JavaScript 코드가 있습니다. 이 기사의 작성자는 이 12개를 분석하고 해석했습니다. 우리는 또한 상응하는 방어 방법을 제시하고 모두가 함께 논의하는 것을 환영합니다. 다음은 12줄의 js 코드에 관한 기사입니다. 이 12줄의 코드가 어떻게 브라우저를 폭발적으로 만들까요?

Ajax와 pjax

Ajax는 "Asynchronous Javascript And XML"(Asynchronous JavaScript and XML)로, 빠르고 동적인 웹페이지를 만드는 데 사용되는 기술입니다. Ajax를 사용하면 백그라운드에서 서버와 소량의 데이터를 교환하여 웹 페이지를 비동기적으로 업데이트할 수 있습니다. 즉, 전체 웹페이지를 다시 로드하지 않고도 웹페이지의 일부를 업데이트할 수 있습니다.

그러나 Ajax 애플리케이션은 브라우저가 앞뒤로 이동할 수 없게 만드는 다른 문제도 일으킬 수 있습니다. 이는 매우 골치 아픈 문제이며 개발자는 숨겨진 작업을 통해 작업량을 늘려야 합니다. iframe을 사용하거나 위치 .hash 값 및 기타 방법을 변경하여 해결하세요.

기존 Ajax에서 발생하는 문제를 해결하기 위해 HTML5에 새로운 API인 History.pushState가 도입되었습니다. 이 API는 Ajax와 결합된 후 pjax라는 새로운 이름을 갖게 됩니다. Ajax+history.pushState를 기반으로 하는 신기술로, 새로고침 없이 페이지의 내용을 변경할 수 있고, 페이지의 URL을 변경할 수 있습니다. pjax는 Ajax+pushState를 캡슐화한 것이며 로컬 저장 및 애니메이션과 같은 여러 기능을 지원합니다. 현재 jquery, qwrap, Kissy 및 기타 버전을 지원합니다.

HTML5.history.pushState

HTML5는 pushState 및 replacementState 인터페이스를 통해 브라우저 기록을 조작하고 현재 페이지의 URL을 변경할 수 있습니다.

pushState는 지정된 URL을 브라우저 기록에 추가하고 현재 기록 지점을 저장합니다. replacementState는 현재 URL을 지정된 URL로 바꿉니다. 동시에 이러한 메서드는 window.onpostate 이벤트와 함께 작동합니다.

history.pushState(data, title, url): 기록 스택 상단에 레코드를 추가합니다. onpopstate 이벤트가 트리거되면 데이터가 매개변수로 전달됩니다. 일반적으로 모든 현재 브라우저에서 무시됩니다. 이 매개변수는 페이지 주소이며 선택 사항이며 기본값은 현재 페이지 주소입니다. 구체적인 세부 사항:

state: 객체는 과거 지점을 기록하는 추가 객체인 JavaScript 상태 객체이며 비어 있을 수 있습니다. pushState() 메소드에 의해 생성된 새로운 기록 엔터티와 관련됩니다. 기록에 삽입하려는 항목에 대한 정보를 저장하는 데 사용됩니다.

제목: 모든 브라우저는 일반적으로 이 매개변수를 무시하지만 나중에 사용될 수도 있습니다. 지금 사용하는 가장 안전한 방법은 빈 문자열을 전달하여 향후 수정을 방지하거나 짧은 제목을 전달하여 상태를 나타내는 것입니다.

URL: 이 매개변수는 새 기록 엔터티의 URL을 전달하는 데 사용됩니다. 새 URL은 기존 URL과 동일한 도메인에 있어야 합니다. 그렇지 않으면 pushState()에서 예외가 발생합니다. 이 매개변수는 선택사항입니다. 공백으로 두면 문서의 현재 URL로 설정됩니다.

12줄의 코드 분석

위 그림은 12줄의 코드입니다. 핵심은 전체 URL에 대한 루프입니다.history.pushState(0,0,total); URL을 1,000,000번 반복하고 기록 스택에 지속적으로 새 레코드를 추가하면 과도한 CPU 및 메모리 사용이 발생하고 Firefox, Chrome 및 Safari 브라우저가 충돌하며 iPhone이 다시 시작됩니다.

분석 결과

XP 가상 머신(i7 싱글 코어 3.4G, 512 메모리)에서 개인 측정:

  • 위 루프 수가 ten 레벨이 10,000을 초과하면 CPU 및 메모리 사용량이 즉시 100%에 도달한 후 충돌이 발생하고 정지됩니다.

  • 위의 사이클 수가 약 10,000으로 줄어들면 CPU 및 메모리 사용량은 20초 이내에 점차 100%까지 증가한 후 충돌합니다.

  • 위의 사이클 수가 약 500으로 감소하면 CPU 사용량이 점차 증가합니다. 100%, 그리고 다시 즉시 안정적인 상태로 돌아왔고, 메모리 사용량은 약 130M에서 약 230M으로 증가했습니다. 192.168.56.106/12.html 페이지를 연 후 주소 표시줄의 링크도 192.168로 변경되었습니다. 56.106/0123456789101112131415161718192021...49449549649749 8499

루프를 통해 히스토리 스택에 지속적으로 레코드를 추가하는 동안 페이지가 새 점프 주소로 새로 고쳐지는 것을 볼 수 있습니다. 루프에 누적된 "의사 주소"입니다. 이 길이가 제한을 초과하면 공격의 효과와 효율성은 루프 수와 대상의 하드웨어 구성에 따라 달라집니다.

관련 방어

모든 사람의 보안 인식은 이미 매우 강하다고 생각하지만 여전히 경보를 울릴 필요가 있습니다. 낯선 사람이 보낸 링크, 첨부 파일 또는 이메일을 신뢰하지 마십시오. , 사진 및 기타 정보는 물론 좋은 친구와 나쁜 친구의 장난을 배제하지 않으므로 친구 여러분은 Ctrl+S를 자주 기억하십시오. 그렇지 않으면 컴퓨터가 충돌하면 매우 우울해질 것입니다.

인터넷은 탄생부터 해커 공격에 노출되어 왔습니다. 초기 해커 공격은 다소 기술적인 실험과 과시를 목적으로 했지만 글로벌 인터넷 인프라의 성장과 함께 연결의 무한한 성장과 사용자 수가 급격히 증가함에 따라 해커 공격의 빈도도 증가했으며, 해커 기술도 계속 발전하여 불법적으로 경제적 이익을 얻으려는 목적의 블랙 산업 체인이 점차 등장했습니다. 인터넷 시대에는 인터넷 보안 보호의 기술적 수준이 비약적으로 발전하고 있습니다. 공격과 방어는 매 순간마다 일어나고 있습니다.

물론 인터넷은 정보 보안 위협으로 가득 차 있습니다. 네트워크 보안 보호는 이러한 문제로부터 보호하기 위해 보안 제조업체의 제품과 서비스에만 의존하는 것만으로는 충분하지 않습니다. 보안 인식의 증가는 무시할 수 없습니다.

예: 개인 비밀번호 관리에 주의, 개인정보 보호에 주의, 공공 Wi-Fi에 쉽게 접속하지 않기, 낯선/친한 친구의 링크나 파일을 쉽게 신뢰하지 않기 등 모바일 결제의 보안에 주의를 기울이고 기기에 '줄무늬' 등이 발생하지 않도록 하세요.


위 내용은 JS 코드 12줄의 DoS 공격 분석 및 방어에 대한 자세한 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿