使用JS-in-JS解释器陷阱执行来捕获恶意的网站脚本

最新推荐文章于 2023-04-27 21:59:18 发布
最新推荐文章于 2023-04-27 21:59:18 发布
阅读量1.2k 收藏
点赞数
分类专栏: 系统架构 编译器技术 程序员心得体会 读书笔记 文章标签: 浏览器 JavaScript 解释器 dom
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cteng/article/details/46999065
版权

主要思路:

(1)使用JS实现一个JS解释器

当然,似乎还没有开源的库实现?Esprima可以派上用场,将JS代码翻译为AST。(而Google V8引擎原来设计就是从AST编译为原生的机器代码,也许可以借鉴)

(2)对于非DOM/IDL的访问操作,可使用编译执行的技术,但需要提供proxy trampoline接口;

(3)对于DOM树操作或Web IDL(HTML API)访问,相当于支持JIT语言的native unsafe扩展,“虚拟”执行,即实际上并不真正执行,而是用log记录下此调用的上下文环境;

    但是问题在于,原来的网站脚本可能依赖于这些操作返回的接口执行后续进一步的操作,这种情况下,可以使用:

(4)虚拟DOM树快照技术

也就是说,并不修改真正的DOM树,而是用JS模拟一个immutable版本的假DOM树。由于网站脚本被解释器模型执行,原则上来说是可以做到让网站脚本以为自己是在真实环境中执行的

(5)如此我们就实现了一个捕获恶意网站脚本的蜜罐。。。


技术实现难点:。。。


志_祥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS-Interpreter:JavaScript中的沙盒JavaScript解释器
03-03
JS解释器 JavaScript中的沙盒JavaScript解释器。 隔离和安全地逐行执行任意JavaScript代码。 现场演示: : 文档: :
code-in-js:JavaScript代码示例和实用程序脚本
05-18
"code-in-js"项目显然是一系列JavaScript代码示例和实用工具脚本的集合,旨在帮助开发者理解和学习JavaScript的核心概念以及实际应用。 在"code-in-js-master"这个压缩包中,我们可以期待找到各种不同类型的...
新型 JavaScript 轻量级脚本解释器 NewScript 介绍
tan_kaishuai的专栏
02-27 1069
从零开始自己实现的一门全新的 类JavaScript 语法的轻量级脚本解释器。 支持各种复杂的脚本语法。 支持函数任意嵌套定义,及自由指定全局变量及局部变量。 支持任意接口扩展。 (文章待完善中,等候后续项目发布。目标是超越 V8。。233 开玩笑 ) 以下是已实现的部分接口及脚本示例一览: ...
JavaScript 解释器的设计与实现
Juliet
03-26 454
学习自华科张军林等老师的论文《JavaScript语言解释器的设计与实现》,思路很好,跟大家分享一下,共同进步哦 1. 词法分析 以嵌入在html文本中的JS脚本程序为输入形成单词链表,以便语法分析。单词链表为双向链表。 2. 语法分析以单链表为输入,依JS语言的语法规则形成中间数据结构。中间数据结构能够反映出程序语句描述的数据处理流程。 3. 解释执行器以中间数据结构为输入负责对语句解释执行的...
脚本解释器
tiewen的专栏
02-14 2030
Javascript:V8 C/C++:     1. Ch:Ch是一个跨平台的C/C++脚本解释器,它支持ISO的C语言标准(C90/C99),C++,附带了8000多个函数库并支持众多的工业标准,支持POSIX, socket/Winsock, X11/Motif, OpenGL, ODBC, C LAPACK, GTK+, Win32, XML, 和CGI等等。Ch具有MATLAB的高级
javascript解释器
顺其自然~专栏
03-28 1387
JavaScript解释器又名js引擎。 JavaScript是解释型语言,这就是说它无需编译,直接由JavaScript引擎直接执行。 既然说到了解释型语言,那么我们就来分别以下解释型语言和编译型语言的差别: 编译型语言:程序在执行之前需要一个专门的编译过程,把程序编译成为机器语言的文件(即exe文件),运行时不需要重新编译,直接用编译后的文件(exe文件)就行了。 优点:执行效率高 ...
Rat Javascript - 小型javascript/ecmascript解释器
最新发布
10-08
作为一个解释器,RATJS解析并执行JavaScript代码,而不是像浏览器那样编译成机器码,这使得它在资源有限的环境中仍然能有效运作。 在RATJS中,你可以编写JavaScript程序并直接运行,这对于学习JavaScript语法、进行...
js-webcam-screenshot:通过 JavaScript 从网络摄像头捕获屏幕截图
05-30
通过 JavaScript 从网络摄像头捕获屏幕截图 特征 js-webcam-screenshot 可以直接从浏览器捕获屏幕截图。 然后可以将图像呈现在和/或可以作为普通文件上传发布。 js-webcam-screenshot 可以使用来自各种框架...
keylogger-Javascript-only-Education:密钥捕获脚本
07-07
标题:“keylogger-Javascript-only-Education:密钥捕获脚本” 在这个项目中,我们关注的是一个专门用于教育目的的JavaScript键盘记录器。键盘记录器是一种软件工具,它记录用户在计算机键盘上输入的所有字符。在...
嵌入式JavaScript脚本解释器的研究与实现
whr0214的专栏
08-26 1064
http://www.lw23.com/lunwen_41757/嵌入式JavaScript脚本解释器的研究与实现The Research and Implementation of an Embedded JavaScript Interpreter论文作者 王宜春论文导师 吴健,论文学位 硕士,论文专业 计算机软件与理论论文单位 西北工业大学,点击次数 149,论文页数 52页File S
CanJS是一个javascript解释器可以在JS中运行JS代码
08-12
CanJS是一个javascript解释器,可以在JS中运行JS代码
JS-Interpreter, 在JavaScript中,沙箱JavaScript解释器.zip
10-10
JS-Interpreter, 在JavaScript中,沙箱JavaScript解释器 js解释器JavaScript中的沙箱JavaScript解释器。 独立执行任意的JavaScript代码行并安全。现场演示:https://neil.fraser.name/software/JS-Interpreter/文档:h
V8Javascript脚本引擎源码
04-19
谷歌浏览器脚本引擎、JavaScript解释器:V8。checkout日期:2009-4-19
JavaScript高级语法之解释器(Interpreter)
上善若泪
05-04 2600
目录 1 词法分析器 2 句法解析器 3 字节码生成器 4 字节码解释器 JavaScript解释器的作用,是执行JavaScript源码。它通常可以包含四个组成部分。 词法分析器(Lexical Analyser) 句法解析器(Syntax Parser) 字节码生成器(Bytecode generator) 字节码解释器(Bytecode interpreter) 1 词法分...
【前端与编译原理】用JS写一个JS解释器
m0_56053042的博客
04-19 1661
JS写一个JS解释器
javascript解释器有哪些
qq_27009517的博客
05-27 2967
1. V8 JavaScript engine Chrome 中内置 node.js 中内置 2.TraceMonkey JavaScript engine Firefox 3.5中内置 参考资料: 英文维基百科中搜索关键词JavaScript engine。 https://blog.csdn.net/qq_30638831/article/details/90552912 JS各种引擎介绍 http://www.oschina.net/project/tag/296/javascri...
JavaScript中的解释器模式
m0_75198698的博客
04-27 522
在这个示例中,我们定义了一个 `Context` 类来保存解释器解释后的结果,并定义了一个 `Expression` 类作为所有表达式的基类。解释器模式是一种行为型设计模式,它可以将某种语言或表达式的解释器封装成类,使得在解释时可以方便地添加新的语法规则或者改变已有规则,同时还能够对表达式进行解释和计算。解释器树的根节点可以是一个包含所有语法单元对象的对象,而叶子节点则可以是具体的语法单元对象。例如,一个包含数值和操作符的表达式可以表示为一个解释器树,其中根节点是一个操作符对象,左右子节点是两个数值对象。
JavaScript编译器和解释器
qq_37464878的博客
11-01 3648
1.组成原理基础复习 微命令: 控制门电路的开关,一个微命令只能控制一个门电路。 举例:控制总线内容是否能够进入寄存器,存储器内容是否能够进入总线等待。 微指令: 由[操作码] + [测试码] + [下一条地址]构成。一条微指令能够控制多条微命令,执行连贯动作。 举例:读取存储器中xxx地址的数据并送入寄存器A,可以通过操纵多条微命令控制门电路来完成。 机器指令: 由[操作码字段] + [地址码字段] 构成,地址码字段可以有多个。每条机器指令都对应着一个由多条微指令构成的微程序。 举例:二地址码的加指令,首
JavaScript设计模式——解释器模式
前端御书房
10-05 481
JavaScript设计模式,解释器模式,持续更新中……
Android studio如何使用 try-catch 块来捕获异常并退出执行访问数据库。
04-29
在 Android Studio 中,使用 try-catch 块来捕获异常并退出执行访问数据库的代码可以像下面这样实现: ```java try { // 这里是你的访问数据库的代码 } catch (Exception e) { // 如果发生异常,打印错误信息 e....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值