java 实现dns劫持_JavaScript 防 http 劫持与 XSS

最新推荐文章于 2023-10-30 09:48:28 发布
VIP文章 最新推荐文章于 2023-10-30 09:48:28 发布
阅读量538 收藏 1
点赞数
文章标签: java 实现dns劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39629947/article/details/114222185
版权

原标题:JavaScript 防 http 劫持与 XSS

原文作者:

作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site ing)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。

最近用 Java 写了一个组件,可以在前端层面防御部分 HTTP 劫持与 XSS。

当然,防御这些劫持最好的方法还是从后端入手,前端能做的实在太少。而且由于源码的暴露,攻击者很容易绕过我们的防御手段。但是这不代表我们去了解这块的相关知识是没意义的,本文的许多方法,用在其他方面也是大有作用。

已上传到 Github – ,欢迎感兴趣看看顺手点个 star ,本文示例代码,防范方法在组件源码中皆可找到。

接下来进入正文。

HTTP劫持、DNS劫持与XSS

先简单讲讲什么是 HTTP 劫持与 DNS 劫持。

HTTP劫持

什么是HTTP劫持呢,大多数情况是运营商HTTP劫持,当我们使用HTTP请求请求一个网站页面的时候,网络运营商会在正常的数据流中插入精心设计的网络数据报文,让客户端(通常是浏览器)展示“错误”的数据,通常是一些弹窗,宣传性广告或者直接显示某网站的内容,大家应该都有遇到过。

DNS劫持

DNS劫持就是通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。

DNS 劫持就更过分了,简单说就是我们请求的是 http://www.a.com/index.html ,直接被重定向了 http://www.b.com/index.html ,本文不会过多讨论这种情况。

XSS跨站脚本

XSS指的是攻击者漏洞,向 Web 页面中注入恶意代码,当用户浏览该页之时,注入的代码会被执行,从而达到攻击的特殊目的。

关于这些攻击如何生成,攻击者如何注入恶意代码到页面中本文不做讨论,只要知道如 HTTP 劫持 和 XSS 最终都是恶意代码在客户端,通常也就是用户浏览器端执行,本文将讨论的就是假设注入已经存在,如何利用 Java 进行行之有效的前端防护。

页面被嵌入 iframe 中,重定向 iframe

先来说说我们的页面被嵌入了 iframe 的情况。也就是,网络运营商为了尽可能地减少植入广告对原有网站页面的影响,通常会通过把原有网站页面放置到一个和原页面相同大小的 iframe 里面去,那么就可以通过这个 iframe 来隔离广告代码对原有页面的影响。

b36a6c8c587507aea704f984d840eb76.png

这种情况还比较好处理,我们只需要知道我们的页面是否被嵌套在 iframe 中,如果是,则重定向外层页面到我们的正常页面即可。

那么有没有方法知道我们的页面当前存在于 iframe 中呢?有的,就是 window.self 与 window.top 。

window.self

返回一个指向当前 window 对象的引用。

window.top

返回窗口体系中的最顶层窗口的引用。

对于非同源的域名,iframe 子页面无法通过 parent.location 或者 top.location 拿到具体的页面地址,但是可以写入 top.location ,也就是可以控制父页面的跳转。

两个属性分别可以又简写为 self 与 top,所以当发现我们的页面被嵌套在 iframe 时,可以重定向父级页面:

b7d59571c5ef895bb32c25a3b91b56dc.png

使用白名单放行正常 iframe 嵌套

当然很多时候,也许运营需要,我们的页面会被以各种方式推广,也有可能是正常业务需要被嵌套在 iframe 中,这个时候我们需要一个白名单或者黑名单,当我们的页面被嵌套在 iframe 中且父级页面域名存在白名单中,则不做重定向操作。

上面也说了,使用 top.location.href 是没办法拿到父级页面的 URL 的,这时候,需要使用document.referrer。

通过 document.referrer 可以拿到跨域 iframe 父页面的URL。

edf9475d5e5c58d86147671679421486.png

更改 URL 参数绕过运营商标记

这样就完了吗?没有,我们虽然重定向了父页面,但是在重定向的过程中,既然第一次可以嵌套,那么这一次重定向的过程中页面也许又被 iframe 嵌套了,真尼玛蛋疼。

当然运营商这种劫持通常也是有迹可循,最常规的手段是在页面 URL 中设置一个参数,例如 http://www.example.com/index.html?iframe_hijack_redirected=1 ,其中 iframe_hijack_redirected=1 表示页面已经被劫持过了,就不再嵌套 iframe 了。所以根据这个特性,我们可以改写我们的 URL ,使之看上去已经被劫持了:

最低0.47元/天 解锁文章
weixin_39629947
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java实现DNS劫持(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-18 441
java实现DNS劫持(附完整源码)
JavaScript http 劫持XSS.docx
11-26
...
Java Netty框架自建DNS代理服务器教程
Wayn111的博客
01-08 716
DNS协议作为着互联网客户端-服务器通信模式得第一关,在当下每天都有成千上亿上网记录产生得当今社会,其重要性自然不可言喻。在国内比较有名得DNS服务器有电信得114.114.114.114、阿里云得223.5.5.5,DNSPod得119.29.29.29,配置一个好的DNS服务器可以缩短请求响应时间、降低DNS劫持概率,提升上网体验。上面这些都是互联网公用DNS服务器,本文博主教大家使用Java Netty。
java怎样断开http请求_如何劫持Java应用的HTTP请求
weixin_39646107的博客
02-26 361
背景全链路追踪中,针对部分特殊的流量,希望将它引导到特定服务上(这个特定服务不在正常请求的链路上)——问题可以被抽象为解决进程间通信过程中目标进程的选择。进程间通信方式很多,本篇只关注 Java 进程间套接字通信下 HTTP 形式的请求劫持,引导特定流量到特定进程。解决方案可行的处理方案繁多。自顶向下从应用、框架、JVM、Container Runtime、System Call、网络协议栈等级别...
JavaScript实现DNS劫持(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
10-30 238
JavaScript实现DNS劫持(附完整源码)
使用Javascript实现前端http劫持XSS攻击并且对可疑攻击进行上报
08-10
httphijack 使用Javascript实现前端http劫持XSS攻击,并且对可疑攻击进行上报 使用方法 引入 httphijack1.0.0.js httphijack.init() 范范围: 所有内联事件执行的代码 href 属性 [removed] 内嵌的代码 ...
ss.rar_java security_spring security_springsecurity4xss
09-23
spring security的中文学习文档,很好用的
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
Cross Site Scripting
XSS_Rays.zip_XSS Rays 下载_tool_xss扫描_xss扫描器_漏洞扫描
09-22
基于JS的XSS扫描器——XSS Rays. 最近The Spanner发布了一个名为XSS Rays的 XSS漏洞扫描器。这tool有点意思,是使用JS写的,JS遍历目标的link、form,然后构造测试用例去测试,可以发现DOM的XSS(当然是在测试用例打...
使用Java实现DNS域名解析的简单示例
09-03
主要介绍了使用Java实现DNS域名解析的简单示例,括对一个动态IP主机的域名解析例子,需要的朋友可以参考下
Java代码审计-JS脚本劫持 及 修复处理意见
dilamo1968的博客
08-22 692
先通过iis7网站监控,输入自己的域名,就可以立马看到自己是不是遭遇JS劫持了,并且查询结果都是实时的,可以利用查询结果来更好的优化我们的网站。 以下情况,应用程序很容易受到js劫持的攻击: (1)讲js对象用作数据传输格式 (2)处理机密数据 概念: 即在一个函数运行之前把它劫持下来,添加我们想要的功能。当这个函数实际运行的时候,它已经不是原本的函数...
JAVA三种拦截方式
zhangximing的博客
08-18 3561
最近面试有遇到拦截方式的场景,结合网上xdm的代码整理了下,分为以下三种:java原生过滤器Filter、springMVC拦截器、aop切面。
Java实现数据劫持——监听属性变更
littleschemer的博客
01-09 3072
目录 背景 JS数据劫持 Java数据挟持 使用jdk的PropertyChangeSupport实现属性监听 使用Cglib实现属性监听 背景 java在使用JavaBean的时候,有时我们需要监听属性的变更。例如在访问bean的getter方法,或者调用bean的setter方法时,进行拦截。在不对现有的所有代码进行入侵修改的前提下,有什么方法优雅解决这个问题呢? JS数据劫持 JS的“数据劫持”提供了一种机制,允许程序对对象数据的访问与修改之前进行拦截。Vue能够在修改模型...
深入理解Javascript劫持JavaScript Hijacking)原理
士心的博客
07-23 3306
0x0前言 首先说明此类攻击在主流浏览器已近乎失效,此篇文章作为感想记录。 与JSONP不同,此类攻击通过<script>标签绕过同源策略,并利用hook获取返回的数据。 0x1背景 最近在看我司白盒扫描工具的知识库时,发现一个之前没见过的缺陷(Javascript劫持),出于好奇心想深入了解一下这个缺陷,但写此缺陷的资料比较少,特此写下此篇文章。 0x2原理 Javascript劫持与CSRF攻击原理非常相似,唯一不同的是,CSRF是模拟你的身份去发送请求,JavaScript Hijac
JavaScript学习笔记(十三)——劫持
qq_56607109的博客
06-18 146
劫持分为三类,重点学习js中的this关键字的引用劫持。 apply() 方法 案例:数组里面并没有max()方法,但是Math里面有max()方法,这里很好理解,因为数组里面可以存很多类型的值,比如字符串,并不是只有数值型无法比较。这个时候我们就可以直接劫持掉Math的max()方法,来对全是数值型的数组进行最大值的寻找。 定义是函数可以在设计的时候就指定this —> 用bind()方法 自己设计函数功能的时候大量应用bind方法绑定对象,以其他人改掉你的this指向。根据(obj.sa
JavaScript中的劫持
qq_47455650的博客
07-07 689
this劫持 运行结果:定义式的函数在设计的时候就指定this 运行结果:
java 实现dns劫持_什么是HTTP劫持DNS劫持
weixin_42382558的博客
02-16 516
HTTP劫持在用户的客户端与其要访问的服务器经过网络协议协调后,二者之间建立了一条专用的数据通道,用户端程序在系统中开放指定网络端口用于接收数据报文,服务器端将全部数据按指定网络协议规则进行分解打,形成连续数据报文。用户端接收到全部报文后,按照协议标准来解组合获得完整的网络数据。其中传输过程中的每一个数据都有特定的标签,表示其来源、携带的数据属性以及要到何处,所有的数据经过网络路径中ISP...
Java代码实现拦截区域网数据
weixin_30576859的博客
11-16 934
起因: 吃饭的时间在想如果区域网内都是通过路由器上网,那如何实现拦截整个区域网的数据,从而实现某种窥探欲。 思路: 正常是通过电脑网卡预先设置或分配的IP+网关对路由器进行通讯,比如访问百度: A主机(指定网关) >> 路由器 >> DNS(域名转IP) >> 服务端(百度) 而我需要达到的目的是...
基于内网dns劫持与网页挂马实测案例
qq_36585338的博客
11-26 1957
关于dns劫持与flush钓鱼挂马的一次真实案例复现,其中括cs打枪神器的使用测试
java XSS
最新发布
12-22
Java中可以通过以下几种方式来XSS攻击: 1. 输入验证和过滤:对用户输入的数据进行验证和过滤,确保只接受合法的输入。可以使用正则表达式或者特定的输入验证库来过滤用户输入,例如Apache Commons Validator库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值