使用JS-in-JS解释器陷阱执行来捕获恶意的网站脚本
来源:互联网 发布:C语言的算术表达式 编辑:程序博客网 时间:2024/06/11 19:26
主要思路:
(1)使用JS实现一个JS解释器
当然,似乎还没有开源的库实现?Esprima可以派上用场,将JS代码翻译为AST。(而Google V8引擎原来设计就是从AST编译为原生的机器代码,也许可以借鉴)
(2)对于非DOM/IDL的访问操作,可使用编译执行的技术,但需要提供proxy trampoline接口;
(3)对于DOM树操作或Web IDL(HTML API)访问,相当于支持JIT语言的native unsafe扩展,“虚拟”执行,即实际上并不真正执行,而是用log记录下此调用的上下文环境;
但是问题在于,原来的网站脚本可能依赖于这些操作返回的接口执行后续进一步的操作,这种情况下,可以使用:
(4)虚拟DOM树快照技术
也就是说,并不修改真正的DOM树,而是用JS模拟一个immutable版本的假DOM树。由于网站脚本被解释器模型执行,原则上来说是可以做到让网站脚本以为自己是在真实环境中执行的
(5)如此我们就实现了一个捕获恶意网站脚本的蜜罐。。。
技术实现难点:。。。
0 0
- 使用JS-in-JS解释器陷阱执行来捕获恶意的网站脚本
- mongodb的shell执行脚本-js脚本
- 过滤js脚本,防止恶意广告
- JAVA使用脚本引擎执行JS
- js date 传参时,使用parseint的陷阱
- js 异常的捕获和使用
- JS脚本不能执行
- mongodb 执行js脚本
- mongodb执行js脚本
- js脚本执行顺序
- JS定时器来间断性的执行函数
- 理解JS脚本执行的过程
- .NET中执行js脚本的方法
- HTML中Js脚本的执行顺序
- js脚本的几个网站链接
- cocos2dx-js 执行js脚本的效率对比
- Atitit.使用引擎加脚本架构的设计 使用php,js来开发桌面程序。。
- 浏览器js脚本和asp js脚本的共享使用
- 【linux】【实验楼学习】【01】学习路线、快捷键、基础介绍
- 我的一些简单的shell脚本实例
- 模板模式和策略模式的区别【转】
- Sliding Window Maximum
- 第k小数
- 使用JS-in-JS解释器陷阱执行来捕获恶意的网站脚本
- android 自定义控件属性步骤
- qt on android之GPS信号的获取
- 杭电oj 1002
- C/C++校招笔试面试经典题目总结六
- CENTOS6.3 配置防火墙,开启80端口、3306端口
- windows驱动开发
- Scala学习资料
- ScrollWindow()函数