保護JavaScript客戶端APP的最有效方法

我們會在這篇文章中深入 JavaScript 的安全隱患，不過范圍僅限于瀏覽器中運行的前端代碼。我們會關注一些將來產(chǎn)生的其它類型。

現(xiàn)在發(fā)揮你的想像，瀏覽器總是要執(zhí)行代碼的，它首先下載頁面并進行解析。瀏覽器有著下載和解析同時進行的能力，所以它不會等待所有東西下載完成。那么，它遇到 JavaScript 的時候會發(fā)生什么事情?

JavaScript會阻塞渲染，這在它執(zhí)行的時候是個巨大的優(yōu)勢。但這意味著瀏覽器將停止解析，直到執(zhí)行完 JavaScript 后才會繼續(xù)。這一特點給于這種編程語言極大的靈活性，它可以打開任意數(shù)量的代碼。

但問題在于，這個特性會帶來什么樣的影響?

<div id="hack-target"></div> 
<button>Set Value</button> 
<script> 
 document.querySelector('button').addEventListener('click', setValue); 
 function setValue() { 
 var value = '2'; 
 document.getElementById('hack-target').innerText = value; 
 }</script>

這段代碼為 HTML 綁定事件，當你點擊按鈕的時候，觸發(fā)回調。

對于客戶端的 JavaScript，你可以在設置值的地方設置一個斷點。這個斷點會在事件觸發(fā)的時候擊中。var value = '2'; 用于設置值，而且可以修改。調試器會在這里暫停并允許篡改頁面。這一功能非常有用，而且當它發(fā)生的時候，瀏覽器不會對它進行標記。

既然調試器暫停了執(zhí)行代碼，它同時也暫停了渲染。調試器本身是瀏覽器提供的工具之一，任何人都可以使用。這就是 Web Developer Tools(開發(fā)者工具)。

在 Code Pen 上可以看到這種技術的應用。下面是關于這個特性的截圖：

這一特性對調試 JavaScript 十分有用，但是它的安全性如何呢?

這個特性意味著攻擊者可以在運行時改變 JavaScript。攻擊者可以通過斷點暫時執(zhí)行，然后修改 DOM 并在控制臺輸入任意 JavaScript 代碼。這類功能可以利用客戶端的漏洞，更改數(shù)據(jù)，支持會話并在頁面內(nèi)用 JavaScript 作出任意改動。

例如，打開開發(fā)者工具，進入控制臺頁面，并輸入：

document.querySelector('button') 
 .addEventListener('click', function () { 
 alert('sacked'); 
 });`

下次這個事件再觸發(fā)的時候，它會執(zhí)行修改后的 JavaScript 代碼。

為什么是 JavaScript?

你可能想問，這一切從何而來?Netscape 在1995年發(fā)布JavaScript的時候，這種新語言就成為了 Web 的 “膠水語言”。

Netscape 把 JavaScript 標準提交給Ecma國際組織之后，他們的版本就成為了標準，也就是大家所知的 ECMAScript。既然 ECMAScript 是一個標準，任何瀏覽器都被要求支持這個標準，這樣在使用不同的瀏覽器時才會不發(fā)生沖突。也就是說，你可以為谷歌瀏覽器寫一段代碼，但它同時也能在 Opera、NetScape、Internet Explorer 和 Microsoft Edge 中運行。JavaScript 創(chuàng)建于靈活的環(huán)境，它有能力讓你做你想做的事情。這些設計原則使用 JavaScript 自然具有了動態(tài)的天賦，也使它成為瀏覽器的語言。

這些都已經(jīng)成為歷史，但與 JavaScript 的安全性有什么關系?

客戶端安全

為了防止惡意的 JavaScript 代碼，最好的選擇是添加運行時保護。運行時程序自我保護(Runtime Application Self-Protection，RASP)將在執(zhí)行客戶端代碼的時候對它加以保護。隨著 Web 靈活性和動態(tài)性的到來，攻擊者通過客戶端 JavaScript 進行攻擊成為可能，運行時安全也成為必要。

RASP 是最為有效的客戶端應用保護方式，總結起來如下所示：

運行時程序自我保護是一種安全技術，它創(chuàng)建或鏈接到應用程序或其運行環(huán)境，并控制應用程序執(zhí)行，檢測和防止實時攻擊。

一旦JavaScript 在瀏覽器中執(zhí)行，沒有任何東西對其完全防護。RASP 會防范發(fā)生在運行時的高度和代碼篡改攻擊，包括在離線狀態(tài)修改應用程序的攻擊。一個好的 RASP 解決方案也會保護自身代碼，使攻擊者不能篡改解決方案本身，或者直接繞過它。這幾層保護保證著開放網(wǎng)絡的安全。

如果 RASP 不錯，它會在攻擊者嘗試阻止代碼的時候發(fā)出通知，以便用戶知道并采取行動，比如取消用戶會話。

Jscrambler提供了一個 RASP 解決方案來保證應用不受到運行時攻擊。它會自我防御并檢測篡改。它的自我防御能力會激活對 JavaScript 應用的保護。Jscrambler 使用反調試和反篡改技術——眾所周知的應用程序保護概念——對 JavaScript 而言明確現(xiàn)實和局限。反調試功能檢測調試工具(比如 DevTools, Firebug)的使用，并試圖阻止逆向工程師使用它來調試應用。它包含一些預置的代碼陷阱，使調試器停止工作，造成堆棧的增長，阻止用戶探查應用的控制流。反篡改功能則會檢查代碼的變化，并做出反應。比如，你在自動防御所保護的一個函數(shù)中添加/刪除一個分號，它會檢測到變化，然后停止運行代碼。兩種技術與代碼混淆結合會使得對應用程序的篡改寸步難行。

結論

實現(xiàn) JavaScript 的安全性必須考慮在運行時會發(fā)生什么。它本質上來說是為 Web 的靈活性而生的動態(tài)語言。它是一柄雙刃劍，使用的時候一定要注意到應盡的責任。

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com