专栏首页程序员宝库对抗蠕虫 —— 如何让按钮不被 JS 自动点击

对抗蠕虫 —— 如何让按钮不被 JS 自动点击

作者: EtherDream www.cnblogs.com/index-html/p/anti_xss_worm.html

前言

XSS 自动点按钮有什么危害?

在社交网络里,很多操作都是通过点击按钮发起的,例如发表留言。假如留言系统有 XSS,用户中招后除了基本攻击外,还能进行传播 —— XSS 自动填入留言内容,并模拟点击发表按钮,于是就能发布带有恶意代码的留言。好友看了中招后,又传播给他们的好友。。。从而形成蠕虫扩散。

那么有没有一种机制,让「发表留言」必须通过用户的「真实点击」按钮才能完成,而无法通过脚本自动实现?这样就能减缓蠕虫传播速度了。

实现

这个想法听起来好像不可行:如果发表留言需要带上用户行为信息,那么 XSS 完全可以伪造一份行为数据,后端根本无法识别。

除非,用户在点击按钮时会产生一个「特殊数据」,让后端校验它。

但是,XSS 也可以直接调用按钮元素的 click 方法,这样效果和用户点击仍然一样。后端仍无法识别是「脚本点的」还是「用户点的」。

这么看来,我们只能保护好这个「按钮元素」,让它没法被 XSS 访问到。例如,把按钮放到一个 不同源的 iframe 里,这样就和 XSS 所在的环境隔离了!

不过,这样还不够。假如 XSS 破解了这个「特殊数据」的生成规则,那么即可自己伪造一个,然后直接调用 HTTP 接口发表留言。所以,我们得找一个不可伪造的硬标识。

事实上,有个很简单的办法:我们干脆让 HTTP 请求也通过 iframe 发送。这样,后端通过 referer 即可检测请求是否为 iframe 发起的。毕竟,XSS 是无法伪造 referer 的!

演示

Demo: http://www.etherdream.com/FunnyScript/anti-xssworm/

注意:这个案例不是看能不能注入 XSS,而是看能不能通过当前页面的 JS 自动发留言!

另外,通过第三方服务器发表是不算的。这里为简单,省略了登录态;真实场合下,会话 Cookie 是 HttpOnly 的,无法被 JS 获取到,也就无法让第三方服务器代替发表。

细节:

  1. 使用者加载 safebutton.js,引入 SafeButton
  2. 使用者实例化 SafeButton 对象 A,创建出一个不同源的 iframe 作为按钮界面
  3. 用户点击 iframe 按钮后,内部变量 S 置为 true,同时将点击消息告知主页面(postMessage)
  4. 主页面收到消息后,让 A 产生 onclick 事件
  5. 使用者将 HTTP 请求数据,通过 A 的 send 方法扔给 iframe
  6. iframe 校验内部变量 S:若为 true,则将数据通过 AJAX 发送;否则放弃
  7. 服务器校验 referer:若为 iframe 的地址,则继续业务逻辑;否则放弃
  8. iframe 收到 AJAX 返回后,将结果扔给主页面
  9. A 产生 onreceive 事件,其中包含 HTTP 返回结果

其中 No.6 的步骤最为关键。正是这一步,使得未经用户点击,XSS 强制扔给 iframe 的消息变得无效!

缺陷

当然,这个方案阻挡不了点击劫持 —— XSS 可以把 iframe 元素放大至整个页面,并设置全透明。

这样用户只要在页面的任何位置点一下,iframe 的 S 状态就变成 true 了,于是就能绕过 No.6。

结尾

当然,安全防御有胜于无。并且该方案的改造成本也不是很大,后端只是增加一个 referer 判断而已;前端也只需改造个别按钮,例如发帖按钮,像点赞这种按钮就没必要保护了。

觉得本文对你有帮助?请分享给更多人。

本文分享自微信公众号 - 程序员宝库(chengxuyuanbaoku)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-03-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 刚开始学编程?这几款小工具能让你事半功倍

    程序员宝库
  • Laravel 开发 RESTful API 的一些心得

    最近用 Laravel 写了一段时间的 API,总结一下自己的心得吧。 Start API开发我们可以看到,有些网站用token验证身份,有些用OAuth2.0...

    程序员宝库
  • 每个程序员都应该收藏的算法复杂度速查表

    这篇文章覆盖了计算机科学里面常见算法的时间和空间的大 O 复杂度。我之前在参加面试前,经常需要花费很多时间从互联网上查找各种搜索和排序算法的优劣,以便我在面试时...

    程序员宝库
  • 【Top 50】中美人工智能高被引学者榜单:孙剑、何恺明、李飞飞进前5

    近日,上海交通大学 Acemap 团队开发了一个基于度量的全球顶级研究机构排名系统——AceRankings。

    新智元
  • TiKV 源码解析系列文章(十三)MVCC 数据读取

    在 《TiKV 源码解析系列文章(十二)分布式事务》 中,我们介绍了如何在满足事务特性的要求下进行数据写入。本文将介绍数据读取的流程。由于顺序扫(Forward...

    PingCAP
  • TiKV 源码解析系列文章(十三)MVCC 数据读取

    在 《TiKV 源码解析系列文章(十二)分布式事务》 中,我们介绍了如何在满足事务特性的要求下进行数据写入。本文将介绍数据读取的流程。由于顺序扫(Forward...

    CNCF
  • 壹周鹅厂 | 腾讯资讯大放送(第3期)

    第3期 “一键”揭秘鹅厂新动态 速来围观 *阅读小tips:点击以下文章标题即可链接原文进行阅读 鹅厂资讯 ▲地震发生后,“没有信号”也是一种信号! 日均定位超...

    腾讯高校合作
  • 二分的思想与快速幂

    这里当a和b的范围比较小时,就可以直接只用循环来进行计算,但是当a和b的范围很大时,使用循环就很消耗时间了。

    lollipop72
  • 大数据彻底改变社科研究过程,学者面临道德考验

    大数据文摘
  • CNCF网络研讨会:可观测性与监测的控制论(视频+PDF)

    在这次网络研讨会中,Instana的复杂性科学家和奇幻主义者William Louth将通过控制论的镜头回答这个(以及更多)问题。

    CNCF

扫码关注云+社区

领取腾讯云代金券