社群
學習
工具庫
AI工具
休閒
搜尋
繁体中文
目錄
Ajax與pjax
HTML5.history.pushState
十二行程式碼分析
分析結果
相關的防禦
首頁 web前端 js教程 詳解12行JS程式碼的DoS攻擊分析及防禦

詳解12行JS程式碼的DoS攻擊分析及防禦

黄舟
黄舟
Mar 08, 2017 pm 02:56 PM

有一段12行的JavaScript程式碼,可以讓Firefox、Chrome、Safari瀏覽器崩潰,而且還能讓iPhone重啟、安卓閃退,本文作者對這12行程式碼進行了分析解讀並且提出了相應的防禦辦法,歡迎大家一同探討。這裡有一篇關於這12行js程式碼的文章:這十二行程式碼是如何讓瀏覽器爆炸的?

Ajax與pjax

Ajax即「Asynchronous Javascript And XML」(非同步JavaScript和XML),是一種用來建立快速動態網頁的技術。透過在後台與伺服器進行少量資料交換,Ajax可以使網頁實現非同步更新。這意味著可以在不重新載入整個網頁的情況下,對網頁的某部分進行更新無刷新操作。

但是,Ajax應用程式也會造成另外的問題,容易導致瀏覽器無法前進與後退,這是個很頭疼的問題,開發人員必須增加工作量(比如通過一個隱藏的iframe,或者改變location .hash值等方法)來解決。

為了解決傳統Ajax帶來的問題,HTML5裡引入了新的API:history.pushState,它和Ajax結合後,有個新的稱呼是pjax。是一種基於Ajax+history.pushState的新技術,該技術可以無刷新改變頁面的內容,並且可以改變頁面的網址。 pjax是Ajax+pushState的封裝,同時支援本機儲存、動畫等多種功能。目前支援jquery、qwrap、kissy等多種版本。

HTML5.history.pushState

HTML5可以透過pushState和replaceState介面操作瀏覽器歷史,並且改變目前頁面的URL。

pushState是將指定的URL加入到瀏覽器歷史裡,儲存目前歷史記錄點。 replaceState是將指定的URL取代目前的URL。同時,這些方法會和window.onpostate事件一起運作。

history.pushState(data, title, url):往歷史記錄堆疊頂部新增一筆記錄;data會在onpopstate事件觸發時作為參數傳遞過去;title為頁面標題,目前所有瀏覽器一般都會忽略此參數;URL為頁面位址,可選,預設為目前頁位址。具體細節:

state:對像是一個JavaScript狀態對象,記錄歷史記錄點的額外對象,可以為空。它關係到由pushState()方法建立出來的新的history實體。用以儲存關於你所要插入到歷史記錄的條目的相關資訊。

title:所有瀏覽器一般都會 忽略此參數,雖然它可能將來會被使用上。而現在最安全的使用方式是傳一個空字串,以防止將來的修改,或者可以傳遞一個簡短的標題來表示state。

URL:這個參數用來傳遞新的history實體的URL,新的URL必須和現有的URL同域,否則pushState()會拋出例外。這個參數是選填的,如果為空,則會被置為document目前的URL。

十二行程式碼分析

上圖就是十二行程式碼,關鍵點在於針對total這個URL的迴圈:history.pushState(0,0,total);不停的在修改URL,循環了1,000,000次,不停的向歷史記錄堆疊中新增記錄,會導致CPU和記憶體佔用率過高以及Firefox,Chrome,Safari瀏覽器崩潰,而且還能讓iPhone重啟。

分析結果

在XP虛擬機(i7單核心3.4G、512記憶體) 親自實測:

  • 當上面那個循環次數為十萬以上等級的時候,CPU,記憶體使用率瞬間100%,然後崩潰死機;

  • 當上面那個循環次數縮小到10000左右的時候,CPU,記憶體使用率大概在20秒內逐漸升高至100%,然後崩潰死機;

  • 當上面那個循環次數縮小到500左右的時候, CPU使用率逐漸升高到達100%後,再次瞬間恢復到穩定狀態,記憶體使用從130M左右升高到230M左右,而開啟的192.168.56.106/12.html這個頁後,網址列裡面的連結也變成了:192.168.56.106/012345678910112138910112137891095 98499

可見,透過循環不停的向到歷史記錄堆疊中新增記錄的同時,頁面會刷新到跳轉的新地址,就是循環累加的一個“偽地址”,當這個長度超限的時候,就會引起DOS了,攻擊的效果和效率完全取決於循環的次數和目標的硬體配置。

相關的防禦

相信大家的安全意識已經非常的強悍了,但是還是要警鐘長鳴,不要輕信任何陌生人透過任何方式發給你的連結、附件、郵件、圖片等任何訊息,當然不排除好基友們、損友們的惡作劇了,所以小伙伴兒們記得經常Ctrl+S哦,否則被搞死機了也會很鬱悶的。

互聯網自誕生之日起,就暴露在黑客攻擊之下,早期的黑客攻擊多少還帶有技術試驗和炫耀的目的,但隨著全球互聯網基礎設施規模的壯大、連接的無限增長和用戶數的急劇膨脹,駭客攻擊頻率也相應增加,駭客技術也在不斷的發展,逐漸出現了以非法獲取經濟利益為目的的黑色產業鏈。針對網路安全防護的技術水準更是突飛猛進,道高一尺魔高一丈,攻與防,在這個網路時代每分每秒都正在發生著。

當然,網路充滿資訊安全威脅,網路安全防護,七分靠技術,三分靠意識,要防護這些問題,單純依靠安全廠商的產品和服務是遠遠不夠的,網路安全意識的提高不可忽視。

例如:注意個人密碼的管理、注意個人隱私的保護、不要輕易接入公共的wifi、不要輕易相信陌生/熟悉朋友的連結或文件等、注意行動支付的安全、不要讓設備「裸奔」等等。


以上是詳解12行JS程式碼的DoS攻擊分析及防禦的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

顯示更多

熱門文章

Windows 11 KB5054979中的新功能以及如何解決更新問題
3 週前 By DDD
如何修復KB5055523無法在Windows 11中安裝?
2 週前 By DDD
Inzoi:如何申請學校和大學
4 週前 By DDD
如何修復KB5055518無法在Windows 10中安裝?
2 週前 By DDD
Roblox:Dead Rails - 如何召喚和擊敗Nikola Tesla
4 週前 By 尊渡假赌尊渡假赌尊渡假赌
顯示更多

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

顯示更多

熱門話題

gmail信箱登陸入口在哪裡
7833
15
Java教學
1648
14
CakePHP 教程
1403
52
Laravel 教程
1300
25
PHP教程
1240
29
顯示更多
Related knowledge
如何使用WebSocket和JavaScript實現線上語音辨識系統 如何使用WebSocket和JavaScript實現線上語音辨識系統 Dec 17, 2023 pm 02:54 PM

如何使用WebSocket和JavaScript實現線上語音辨識系統引言:隨著科技的不斷發展,語音辨識技術已成為了人工智慧領域的重要組成部分。而基於WebSocket和JavaScript實現的線上語音辨識系統,具備了低延遲、即時性和跨平台的特點,成為了廣泛應用的解決方案。本文將介紹如何使用WebSocket和JavaScript來實現線上語音辨識系

WebSocket與JavaScript:實現即時監控系統的關鍵技術 WebSocket與JavaScript:實現即時監控系統的關鍵技術 Dec 17, 2023 pm 05:30 PM

WebSocket與JavaScript:實現即時監控系統的關鍵技術引言:隨著互聯網技術的快速發展,即時監控系統在各個領域中得到了廣泛的應用。而實現即時監控的關鍵技術之一就是WebSocket與JavaScript的結合使用。本文將介紹WebSocket與JavaScript在即時監控系統中的應用,並給出程式碼範例,詳細解釋其實作原理。一、WebSocket技

如何利用JavaScript和WebSocket實現即時線上點餐系統 如何利用JavaScript和WebSocket實現即時線上點餐系統 Dec 17, 2023 pm 12:09 PM

如何利用JavaScript和WebSocket實現即時線上點餐系統介紹:隨著網路的普及和技術的進步,越來越多的餐廳開始提供線上點餐服務。為了實現即時線上點餐系統,我們可以利用JavaScript和WebSocket技術。 WebSocket是一種基於TCP協定的全雙工通訊協議,可實現客戶端與伺服器的即時雙向通訊。在即時線上點餐系統中,當使用者選擇菜餚並下訂單

如何使用WebSocket和JavaScript實現線上預約系統 如何使用WebSocket和JavaScript實現線上預約系統 Dec 17, 2023 am 09:39 AM

如何使用WebSocket和JavaScript實現線上預約系統在當今數位化的時代,越來越多的業務和服務都需要提供線上預約功能。而實現一個高效、即時的線上預約系統是至關重要的。本文將介紹如何使用WebSocket和JavaScript來實作一個線上預約系統,並提供具體的程式碼範例。一、什麼是WebSocketWebSocket是一種在單一TCP連線上進行全雙工

JavaScript與WebSocket:打造高效率的即時天氣預報系統 JavaScript與WebSocket:打造高效率的即時天氣預報系統 Dec 17, 2023 pm 05:13 PM

JavaScript和WebSocket:打造高效的即時天氣預報系統引言:如今,天氣預報的準確性對於日常生活以及決策制定具有重要意義。隨著技術的發展,我們可以透過即時獲取天氣數據來提供更準確可靠的天氣預報。在本文中,我們將學習如何使用JavaScript和WebSocket技術,來建立一個高效的即時天氣預報系統。本文將透過具體的程式碼範例來展示實現的過程。 We

簡易JavaScript教學:取得HTTP狀態碼的方法 簡易JavaScript教學:取得HTTP狀態碼的方法 Jan 05, 2024 pm 06:08 PM

JavaScript教學:如何取得HTTP狀態碼,需要具體程式碼範例前言:在Web開發中,經常會涉及到與伺服器進行資料互動的場景。在與伺服器進行通訊時,我們經常需要取得傳回的HTTP狀態碼來判斷操作是否成功,並根據不同的狀態碼來進行對應的處理。本篇文章將教你如何使用JavaScript來取得HTTP狀態碼,並提供一些實用的程式碼範例。使用XMLHttpRequest

javascript如何使用insertBefore javascript如何使用insertBefore Nov 24, 2023 am 11:56 AM

用法:在JavaScript中,insertBefore()方法用於在DOM樹中插入一個新的節點。這個方法需要兩個參數:要插入的新節點和參考節點(即新節點將要插入的位置的節點)。

JavaScript與WebSocket:打造高效率的即時影像處理系統 JavaScript與WebSocket:打造高效率的即時影像處理系統 Dec 17, 2023 am 08:41 AM

JavaScript是一種廣泛應用於Web開發的程式語言,而WebSocket則是一種用於即時通訊的網路協定。結合二者的強大功能,我們可以打造一個高效率的即時影像處理系統。本文將介紹如何利用JavaScript和WebSocket來實作這個系統,並提供具體的程式碼範例。首先,我們需要明確指出即時影像處理系統的需求和目標。假設我們有一個攝影機設備,可以擷取即時的影像數

See all articles