推荐关注
› Meteor
› JSLint - a JavaScript code quality tool
› jsFiddle
› D3.js
› WebStorm
推荐书目
› JavaScript 权威指南第 5 版
› Closure: The Definitive Guide
› Closure: The Definitive Guide
这是一个创建于 1274 天前的主题,其中的信息可能已经有所发展或是发生改变。
比如 XMLHttpRequest,有没有什么手段可以知道这个东西有没有被人为重写?
网站找了不少方法都做不到
下面是我做的一些尝试,这些检测方法都能被绕过
{
function isNative(api) {
return /native code/.test(api.toString()) && typeof api !== 'undefined'
}
let test = function (input, fake) {
console.log("------------------------")
console.log("是否是伪造:", fake)
console.log("toString:", input.toString())
console.log("toString.toString:", input.toString)
console.log("prototype 方法", input.hasOwnProperty("prototype"))
console.log("toString.call","方法",Function.prototype.toString.call(input))
console.log("网传最不靠谱方法:isNative", isNative(input))
}
test(XMLHttpRequest, false)
{
let XMLHttpRequest = function () {
"[native code]"
}
XMLHttpRequest.toString = function () {
return "function XMLHttpRequest() { [native code] }"
}
let toString = function () {
return "function toString() { [native code] }"
}
toString.toString = toString
XMLHttpRequest.toString.toString = toString
Function.prototype.toString = toString
delete XMLHttpRequest.prototype
test(XMLHttpRequest, true)
// XMLHttpRequest.prototype = undefined
// test(XMLHttpRequest, true)
}
}
 |
1
JK9993 2021-05-08 17:05:15 +08:00
Function.prototype.toString.call
|
|
2
JK9993 2021-05-08 17:05:53 +08:00
哦,不行
|
|
3
JK9993 2021-05-08 17:07:39 +08:00
如果原型链上的 toString 被修改了,就只能检测到 toString 被修改这一步了
|
 |
4
xieqiqiang00 OP @JK9993 怎么检测 tostring 被修改了?
|
|
5
JK9993 2021-05-08 17:12:25 +08:00
你可以构造一个函数,然后 toString 输出
|
|
6
xieqiqiang00 OP @JK9993 不行,我试过
|
 |
7
7075 2021-05-08 17:15:30 +08:00
首先你先想想怎么给“原生 /非原生”下一个明确的、可量化、可操作的定义。
有了定义,才有分类的判断标准。 如果能拿到目标函数原始的代码,那么可以用代码做指纹... |
 |
8
mopig 2021-05-08 17:18:07 +08:00
@xieqiqiang00 Function.prototype.toString.call(Function.prototype.toString) 这样检测🤔
|
|
9
xieqiqiang00 OP @7075 我指的原生就是看不到代码,可能都不是 JS 实现的,浏览器内置的这些东西<br>
fetch 、XMLHTTPRequest 这种 |
 |
10
daysv 2021-05-08 17:20:09 +08:00
XMLHttpRequest.toString()
"function XMLHttpRequest() { [native code] }" |
 |
11
xiangwan 2021-05-08 17:20:38 +08:00 via Android
如果你信任你的运行时,这个判断才有意义
|
|
12
daysv 2021-05-08 17:22:23 +08:00
再加一个 XMLHttpRequest.toString.toString() ?
|
|
13
xieqiqiang00 OP @JK9993 懂了
|
|
14
xieqiqiang00 OP @daysv 我最上面的代码就能绕开这个了
|
|
15
xieqiqiang00 OP @xiangwan 提高一下成本,打开控制台随便改改就能操作,门槛也太低了
|
 |
16
chogath 2021-05-08 17:25:20 +08:00
没懂需要判断的需求是什么,可否描述下场景和需求啊
|
|
17
7075 2021-05-08 17:36:28 +08:00  2
这个问题往大了说是一个哲学问题。怎么证明你是你。
还不如从原始需求出发,解决最直接的需求问题。 |
|
18
xieqiqiang00 OP @chogath 想法是用 electron 写一个程序,代码用 vm 预编译,网络用 electron 的证书绑定,但如果直接改 js 文件重写了 XHR,通信的具体细节还是会一览无余。希望提高破解者的破解成本
|
|
19
chogath 2021-05-08 17:43:23 +08:00
@xieqiqiang00 js 有转移二进制码,或者可执行文件的第三方库,或许你可以从这个角度去考虑?
|
 |
20
maichael 2021-05-08 17:44:23 +08:00
如果你想沿着现有思路走基本是走不通的,毕竟你的检测工具都可能被篡改。
还不如回到你的需求本身,考虑下其它的方向。 |
 |
21
3dwelcome 2021-05-08 17:50:16 +08:00
用 websocket+自定义协议就可以避免被简单抓包。
类似一个主流网络游戏的自定义加密通讯协议,绝对没那么容易破解。 或者学微信,自己造 HTTPS/SSL 轮子,也没那么容易被破解。直接用标准的 http/https 确实很不安全,客户端注入 JS,解开后就是明文了。 |
 |
22
renmu123 2021-05-08 17:50:16 +08:00 via Android
如果可以直接改你的代码,你代码底裤都被看到了,那么你防止修改 xhr 又有什么用。
代码混淆再找找有什么好的加壳工具吧 |
|
23
xieqiqiang00 OP @chogath 代码保护这块我打算用 vm 编译成字节码,但如果运行环境事先被修改了一样会上钩
|
|
24
xieqiqiang00 OP @renmu123 不想被看到请求了什么接口,代码加密现在有 JS 预编译,够了
|
|
25
xieqiqiang00 OP @maichael 没有绝对的安全嘛,提高一下门槛
|
 |
26
BoringTu 2021-05-08 18:00:30 +08:00
emmmm,我来给你个正确答案吧~ 思路其实很简单,给你个小 demo~
window.ABC = function() { console.log('origin ABC'); }; window.tempABC = window.ABC; window.ABC = function() { window.tempABC.call(this, arguments); console.log('new ABC'); } 有思路没~ 我只是模拟了一下被人为覆盖浏览器内置函数的逻辑 那现在公布答案~ 在 HTML head 标签里所有 script 标签的最前面加上一个 script,里面: window.originXMLHttpRequest = window.XMLHttpRequest; 然后在你想判断的时候: originXMLHttpRequest === XMLHttpRequest 其实换句话说,window.originXMLHttpRequest 这东西就是浏览器原装内置函数,因为人为覆盖的逻辑肯定在后面执行的 是不是豁然开朗?(手动抠鼻 |
|
27
xieqiqiang00 OP @BoringTu 在这之前执行了替换的话不就 GG
|
|
28
BoringTu 2021-05-08 18:04:55 +08:00
@xieqiqiang00 都在所有脚本执行之前了,你这疑问不成立啊
|
 |
29
ch2 2021-05-08 18:06:19 +08:00
你首先得保证你的检测代码不能被修改
|
 |
30
des 2021-05-08 18:07:02 +08:00
既然你是 electron 程序,建议在 c++层面动手脚
js 层面加东西不说白费功夫,但起码能力有限 |
 |
31
carlclone 2021-05-08 18:07:16 +08:00
运行的时候下断点, 在 console 输入函数名, 会输出一个可以点击跳转的函数定义位置
|
 |
32
luofeii 2021-05-08 18:12:25 +08:00
建立沙箱比如 iframe,需要用到哪个函数直接从 iframe 生成的 window 对象调用就可以
|
|
33
xieqiqiang00 OP 要是这么简单就能解决我的顾虑,我就不提这个问题了
|
|
34
xieqiqiang00 OP @BoringTu 要是这么简单就能解决我的顾虑,我就不提这个问题了
|
|
35
xieqiqiang00 OP @ch2 检测部分打算预编译成字节码,就当他是改不了的
|
|
36
xieqiqiang00 OP @des 魔改 electron 哈哈哈
|
|
37
xieqiqiang00 OP @carlclone 这个是可以改的,vm 就可以
|
|
38
BoringTu 2021-05-08 18:29:08 +08:00
|
|
39
BoringTu 2021-05-08 18:30:34 +08:00
@xieqiqiang00 ? 哪里有问题可以提出来,不提出来咋给你解决。。
|
|
40
BoringTu 2021-05-08 18:32:38 +08:00
只有一种情况是我说的方案失效的,就是如果是说 electron 是在加载 html 之前就覆盖了内置函数
|
|
41
luofeii 2021-05-08 18:38:55 +08:00 via Android
@BoringTu 正是因为它俩不等于,所以 window.XMLHttpRequest 无论做任何更改,iframe.contentWindow.XMLHttpRequest 对象还是原生的
|
|
42
xiangwan 2021-05-08 18:39:54 +08:00
直接不用 XMLHttpRequest 。用其他语言的 http client 编译成 wasm 调用。
|
 |
43
gamexg 2021-05-08 18:44:16 +08:00
@BoringTu #38
以前实现过 js 的浏览器伪装,iframe 也会被处理。 记不清具体细节,印象是 createElement 、getElementById 函数都替换为自己的函数。 浏览器插件来可以实现页面代码之前执行替换代码。 当时考虑过网站检测对抗,只能考虑寻找各个未处理好的细节。 楼主也许可以考虑故意用落后几个版本的 electron(或魔改版) ,然后去依赖老版本不支持的 js 新特征来检查。 例如,看似正常的功能,依赖新特征,浏览器不支持这个功能时 js 回退使用兼容实现。 但是应该故意让 electron 不支持这个特征,那个客户端支持就证明是破解版。 |
|
44
daysv 2021-05-08 18:46:50 +08:00
|
 |
45
ochatokori 2021-05-08 18:53:05 +08:00 via Android
js 层面别费劲了,不管怎么绕都只能过滤一些通用 hook 工具,针对你的程序的话你没办法
就算是 native 层也不是不可能的 |
 |
46
KuroNekoFan 2021-05-08 18:55:24 +08:00 via iPhone
这种问题跟“如何避免 https 抓包”是一个性质的吧
|
|
47
ochatokori 2021-05-08 18:56:10 +08:00 via Android
@daysv #44 直接重写 String.toString.call
|
 |
48
no1xsyzy 2021-05-08 19:48:55 +08:00
如果替换方法是 js,其实是可以用 js 检测的,之前 V2 上面有人做过不记得是 JS 还是 Python 的思考题的,如何判断一个对象是不是 Proxy
hint:递归 但如果对面直接掉替换你的 V8 那也是白搭。 |
|
49
xieqiqiang00 OP |
 |
50
ychost 2021-05-08 21:16:43 +08:00
很难防御,之前用类似的方式破过很多竞赛网站,比如 10fastfingers.com 之类的,前端没法防御只能通过服务端来校验提交有没有异常
|
 |
51
rekulas 2021-05-08 21:28:14 +08:00
抛砖引玉
``` var iframe = document.createElement('iframe') document.body.appendChild(iframe) XMLHttpRequest === iframe.contentWindow.XMLHttpRequest // true or false? ``` |
|
52
no1xsyzy 2021-05-08 21:28:43 +08:00
@xieqiqiang00 我尝试找了一下,但没找到……
假设一个期望中调用层数为 k 的待测函数 就是去撞递归最大层数 撞到了退回来 k-1 层,调用待测的函数 f,应当调用失败( InternalError: too much recursion ) 再多退一层到 k 层,调用待测函数 f,应当调用成功 但是似乎最近浏览器都随机化了最大调用层(防 fingerprinting 吧),不确定 Electron 如何。 (其实最方便的、最坚固的可能是干脆换 Qt 商业授权) |
 |
53
musi 2021-05-08 21:51:59 +08:00
|
 |
54
JerryCha 2021-05-08 22:26:52 +08:00
那你不如直接用 C++写个 addon 专门负责网络请求
|
 |
55
learningman 2021-05-09 00:29:06 +08:00
js 预编译不好使的,建议 wasm
|
 |
56
jones2000 2021-05-09 00:51:59 +08:00
直接后台渲染, 不就行了。 后台生成静态页面,显示。什么 js 都没有。
|
|
59
musi 2021-05-09 06:25:29 +08:00 via iPhone
@aaronlam 本来就是可行的,现在微前端里的沙箱基本都离不开 iframe,比如比较流行的 qiankun 框架,比如阿里云的 console os,都是拿 iframe 来做的沙箱隔离,因为目前的 realm api 还在草案阶段
|
|
60
rekulas 2021-05-09 09:08:27 +08:00
@musi 正常是可以判断的,你可以运行下
不过... @luofeii @BoringTu 正如 @gamexg 提到的,iframe 仍然不完美,客户端仍然能进行攻击,举个栗子 ``` document.createElement = () => { return {contentWindow: {XMLHttpRequest: XMLHttpRequest}} }; document.body.appendChild = () => {}; var iframe = document.createElement('iframe') document.body.appendChild(iframe) console.log(XMLHttpRequest === iframe.contentWindow.XMLHttpRequest) ``` 最后判断始终是 true,除非你继续证明 document.createElement 也是原生,这。。。俄罗斯套娃 我觉得可以考虑从某些无法被覆盖的对象入手,例如 navigator 之类 |
|
61
rekulas 2021-05-09 09:32:19 +08:00
我想到一种结合 valueof 的判断方式 ,大家考虑下如何可以绕过
``` function isNative(api) { if (typeof XMLHttpRequest != 'function') return false; if (typeof XMLHttpRequest.valueOf != 'function' || XMLHttpRequest.valueOf().toString() != 'function XMLHttpRequest() { [native code] }') { return false; } return /native code/.test(api.toString()) && typeof api !== 'undefined' } console.error(isNative(XMLHttpRequest)) ``` 不过最终始终有疑问,如果客户端可以针对性劫持的话,那无论怎么写代码都无法判断的,客户端只需要在判断函数 return true 就行了 |
|
62
musi 2021-05-09 10:36:52 +08:00
@rekulas 我直接在这个帖子开启 console,把你的代码粘贴运行,结果为 false 。
我重新建了个 html 页面,把你的代码粘贴进去运行还是 false,这种没修改都是 false 的要怎么判断? |
|
63
rekulas 2021-05-09 10:52:54 +08:00
@musi
应该是这句 != 'function XMLHttpRequest() { [native code] }' 这个在不同环境下有一点差异所以需要尝试下多种环境,我使用的 chrome90,其他版本或 firefox 的话需要针对性判断下 你可以先 console.log(XMLHttpRequest.valueOf()) 拿到真实值替换进去再测试 |
|
65
rekulas 2021-05-09 11:15:31 +08:00
@musi 测试好像是不行了,奇怪昨天我测试还可以,我待会再试试
不过不用纠结这个,因为这个最终还是有漏洞的,你可以看看我最新的代码如何绕过 |
 |
66
Huelse 2021-05-09 11:27:12 +08:00
幸好楼主解释了,不然又是一个 x-y 问题了
|
|
67
musi 2021-05-09 13:25:27 +08:00
@rekulas #63 也不是很难
``` let tem = XMLHttpRequest; function test() { console.log(111) return tem } XMLHttpRequest = test isNative(XMLHttpRequest) // false test.toString = () => "function XMLHttpRequest() { [native code] }" isNative(XMLHttpRequest) // true ``` |
 |
68
gzzhanghao 2021-05-09 16:01:26 +08:00
function guard(value) {
function toString() { try { null.a } catch (error) { // TODO 判断 error.stack,在 chrome 下 send 和 Object.toString 应该是相邻的 // 注意:不能用 prototype,只能访问 str.length 和 str[index],逐个字符判断 console.log(error.stack) return value } } return { toString } } function send(method, url, body = undefined) { const xhr = new XMLHttpRequest() xhr.open(guard(method), guard(url)) xhr.send(guard(body)) } send('POST', '/', JSON.stringify({ foo: 'bar' })) /** * 测试劫持 */ XHR = XMLHttpRequest XMLHttpRequest = class { constructor() { this.xhr = new XHR() } open(method, url) { return this.xhr.open(method, url) } send(body) { return this.xhr.send(body) } } send('POST', '/', JSON.stringify({ foo: 'bar' })) |
|
69
gzzhanghao 2021-05-09 16:17:40 +08:00
https://codepen.io/gzzhanghao/full/PopqWZr
v2 回复居然没有缩进… |
|
70
gzzhanghao 2021-05-09 16:37:15 +08:00
我错了,不用判断 stack 那么麻烦,直接 fn.caller 就能秒解
```js function guard(value) { function toString() { if (toString.caller === send) { return value } } return { toString } } function send(method, url, body = undefined) { const xhr = new XMLHttpRequest() xhr.open(guard(method), guard(url), false) xhr.send(guard(body)) console.log(xhr.status, xhr.responseText) } send('GET', '/') ``` |
|
71
rekulas 2021-05-09 21:47:24 +08:00
@musi 确实又绕过了。。又升级了下,再看看呢
``` ``` function isNative(api) { if (XMLHttpRequest.hasOwnProperty('toString')) return false; if (typeof XMLHttpRequest != 'function') return false; if (typeof XMLHttpRequest.valueOf != 'function' || XMLHttpRequest.valueOf().toString() != 'function XMLHttpRequest() { [native code] }') { return false; } return /native code/.test(api.toString()) && typeof api !== 'undefined' } console.error(isNative(XMLHttpRequest)) ``` ``` |
|
72
BoringTu 2021-05-10 10:07:27 +08:00
@luofeii #41 但是你怎么做对比呢?
如果不考虑是否是 electron 环境,只是浏览器环境的话,你可以参考我提供的思路,这是最简单也最有效的解决方案 要的就是同一个对象的引用,这样才能判断出是否是同一个内存地址 @binux 为啥做不到呢?在.html 文件里直接写死就好啊,你是考虑会有动态插入 script 标签么?这不需要考虑啊,HTML 在浏览器内核上的渲染逻辑没有那么玄幻,都是自上而下的,就算有动态插入也都是执行到了具体脚本才会有的动作,但早在这一步之前,我想要执行的那句脚本就已经执行完毕了 @rekulas 嗯,我不推荐 iframe 的这种做法哇,虽然按我最早发的那个思路,一样是可以避免你提的这个可能的,我拿到内置 document.createElement 的原生函数引用不就好了嘛。而且你的思路最后的那个判断本来就不是应该的,这个判断木有意义:“XMLHttpRequest === iframe.contentWindow.XMLHttpRequest”,如果不执行你的第一句那个重写 createElement,前面这个判断是永远是 false 的,因为并不是同一个环境,所以也就不是同一个对象 @aaronlam @musi 以及楼上某些木有点名到的童鞋,你们都没注意听讲啊。。 我给各位总结然后回答一下楼主这个问题(两种情况): 1. 如果只是判断前端环境中是否有脚本重写了 XMLHttpRequest,那最简单也最靠谱的就是我提供的那个方案: “在 HTML head 标签里所有 script 标签的最前面加上一个 script,里面: window.originXMLHttpRequest = window.XMLHttpRequest; 然后在你想判断的时候: originXMLHttpRequest === XMLHttpRequest” (顺便聊一下 iframe 的这个方案,用来判断的话是没戏的,上下文环境不同,就算没被重写,也没法判断,因为不可能是同一个对象。iframe 的方案,你只能是 iframe 环境里的 XMLHttpRequest 拿来直接当做原生内置函数来用 2. 如果是说 electron 直接修改了浏览器内核里的 XMLHttpRequest,那就无解了,人家都不是在前端环境修改的,你怎么判断?你就算 toString 了,一样拿到的是这个:'function XMLHttpRequest() { [native code] }'。这种情况你想要知道是否被重写了,只能肉眼去看 electron 的源码,没有其他方式了 |
 |
73
binux 2021-05-10 10:10:48 +08:00 via Android
@BoringTu 如果我控制了浏览器呢?甚至不需要是浏览器,一个插件,mitm 修改 HTML 都行。
|
|
74
BoringTu 2021-05-10 10:26:29 +08:00
@binux 你怎样控制用户的浏览器呢?你说插件,你只能在自己电脑上安装插件,你怎样让用户也安装?如果你随意的就能控制他人浏览器,那浏览器这个行业也不用干了。。
你只能在你电脑的浏览器上装你想装的插件,然后你在自己浏览器上通过插件篡改了原生函数,这都可以啊,但能说明啥问题。。 这个其实没啥好杠的,而且都不需要去查什么资料去验证 这就好像之前我碰到有问这么个事儿的,说我通过自己浏览器开发者工具拿到了我登录后的 token,然后发给别人,不就把我的登录信息暴露出去了么。。我。。当时是真不知道该回啥。。 |
 |
75
SakuraKuma 2021-05-10 11:07:37 +08:00
囧, 楼主都说是 electron, js 怎么弄都么得用, 还是上面说的走 c++写 dll 用 ffi 吧.
|
|
77
gzzhanghao 2021-05-10 11:32:06 +08:00 via iPhone
@BoringTu 楼主好像说过不能控制 script 标签的位置,另外这里应该不用讨论改内核的场景,那是无解的
|
|
78
musi 2021-05-10 12:06:45 +08:00
@BoringTu #72 你没仔细看我说的,我说的就是直接用 iframe 的 xhr 去请求,就不判断了。至于修改内核,能修改内核了你只靠 js 是无解的。
还有,你的方案也不是最简单的,我要是多页面那我每个页面都要修改这侵入性也太大了,这也能叫最简单的? |
|
79
BoringTu 2021-05-10 14:16:07 +08:00
@musi 就算再多页面,你肯定也是按模板来的,难道你这多页面要每个页面都单独完整写一份 html ?
而且你谈侵入性,我的方案只是暴露原对象引用出来而已,并没有做哪怕一丁点的修改,这叫有侵入性? 至于你前半段说的,我都已经说过一遍了。。 @gzzhanghao 为啥不能控制?详见 #72 |
|
80
gzzhanghao 2021-05-10 18:19:54 +08:00 via iPhone
@BoringTu 见#27,另外我之前也遇到过类似的问题,作为第三方库提供出去,这种情况是控制不了的
|
Select Language