阻止在客戶端上運行JavaScript'函數'

Question

是否有某種方法可以阻止JavaScript中的某些'函數'在客戶端上運行？我擔心像Mimikatz這樣的內容可能會從內存中運行，並使黑客能夠侵入主機。理想情況下，這會檢測不允許運行並阻止執行的可定義代碼。

Answer 1

您所描述的內容存在一些問題。首先，它很容易混淆JavaScript。例如，假設您不希望執行eval函數。設計一個正則表達式可以很容易地去除直接調用eval的正則表達式。除非它不是以eval的名字命名呢？

var e = eval; 
e('evil');` 

你也可以檢測到，但你最終會在試圖預測混淆技術的兔子洞中出現。如果你真的想這樣做，我建議從一個像Greasemonkey或Tampermonkey這樣的瀏覽器插件開始。這將是很多工作，你會得到很多誤報。

另一個問題是決定阻止什麼。根據實現情況，JavaScript中只有十幾個global functions，另外還有幾十個全局對象。哪些會被阻止？除非JavaScript引擎或瀏覽器存在漏洞，否則它們都不具有內在危險性。如果您意識到漏洞，修補將比過濾JavaScript更安全和簡單。

JavaScript在攻擊中使用的最常見方式是通過跨站點腳本（XSS）。兩種主要方法是使用惡意腳本從域中竊取數據，或者重新格式化頁面以提示用戶輸入敏感數據（通常是憑證或支付卡號碼）。這兩種技術都使用與合法網頁相同的JavaScript功能，因此通過分析JavaScript實際上是不可能的。可以通過在請求參數中查找JavaScript來阻止簡單的XSS攻擊，但瀏覽器已經這樣做了。

您的Mimikatz示例不是特定於JavaScript的。 Mimikatz是後期開發的通用工具。換句話說，攻擊者必須首先找到進入你的系統的方法，然後使用Mimikatz使其更容易留在惡作劇中。同樣，如果沒有JavaScript引擎或瀏覽器中的初始漏洞，攻擊者將無法使用JS運行類似Mimikatz的內容。

如果您仍然擔心，請查看NoScript之類的插件。它支持定義哪些域可以運行JavaScript的策略。它不像你想要的那麼精細，但它很容易設置。