Wie deaktiviert Facebook die integrierten Entwicklertools des Browsers?

Also offenbar wegen der jüngsten Betrügereien, die Entwickler-tools werden genutzt von Menschen, um das posten von spam und sogar "hacken" von accounts. Facebook blockiert hat, die Entwickler-Werkzeuge, und ich kann auch nicht über die Konsole.

Wie haben Sie das gemacht?? Ein Stack-Überlauf post behauptet, dass es nicht möglich ist,aber Facebook hat bewiesen, falsch.

Gehen Sie einfach auf Facebook und öffnen Sie die developer tools, geben Sie ein Zeichen in der Konsole, und diese Warnung erscheint. Egal, was Sie setzen in, es wird nicht durchgeführt.

Wie ist das möglich?

Werden Sie sogar blockiert, auto-Vervollständigung in der Konsole:

InformationsquelleAutor der Frage Derek 朕會功夫 | 2014-02-11

Ich bin ein Sicherheits-Ingenieur bei Facebook und das ist meine Schuld. Wir testen dies für einige Benutzer zu sehen, wenn es kann verlangsamen einige Angriffe, bei denen Nutzer dazu verleitet, einfügen (bösartige) JavaScript-code in der browser-Konsole.

Nur um klar zu sein: der Versuch zu verhindern, dass Hacker auf client-Seite ist ein schlechte Idee im Allgemeinen;
dies ist zum Schutz gegen eine bestimmte social-engineering-Angriff.

Wenn Sie endete in der test-Gruppe und sind genervt von dieser, sorry.
Ich habe versucht, die alte opt-out-Seite (jetzt Hilfe-Seite) so einfach wie möglich, während immer noch unheimlich genug, um mindestens einige der Opfer.

Ist der aktuelle code ist ziemlich ähnlich zu @joeldixon66 link; uns ist ein wenig komplizierter, für keinen guten Grund.

Chrom umschließt alle Konsolen-code in
```
with ((console && console._commandLineAPI) || {}) {
  <code goes here>
}
```
... also die Seite neu definiert console._commandLineAPI zu werfen:
```
Object.defineProperty(console, '_commandLineAPI',
   { get : function() { throw 'Nooo!' } })
```
Dies ist nicht genug (versuchen Sie es!)aber das ist die
Haupt-trick.

Epilog: Das Chrome-team hat beschlossen, dass ein Sieg über die Konsole vom user-side JS ein Fehler war und das Problemwas diese Technik unwirksam. Danach, zusätzlichen Schutz Hinzugefügt wurde Schutz der Benutzer von self-xss.

InformationsquelleAutor der Antwort Alf

Ich sich die Facebook die Konsole buster script mit Chrome developer tools. Hier ist das Skript mit geringfügigen änderungen für eine bessere Lesbarkeit. Ich habe entfernt die bits, die ich nicht verstehen konnte:

Object.defineProperty(window, "console", {
    value: console,
    writable: false,
    configurable: false
});

var i = 0;
function showWarningAndThrow() {
    if (!i) {
        setTimeout(function () {
            console.log("%cWarning message", "font: 2em sans-serif; color: yellow; background-color: red;");
        }, 1);
        i = 1;
    }
    throw "Console is disabled";
}

var l, n = {
        set: function (o) {
            l = o;
        },
        get: function () {
            showWarningAndThrow();
            return l;
        }
    };
Object.defineProperty(console, "_commandLineAPI", n);
Object.defineProperty(console, "__commandLineAPI", n);

Mit dabei, die Konsole auto-complete schlägt im hintergrund fehl, während Aussagen, die eingegeben in der console wird nicht ausgeführt (Ausnahme protokolliert werden).

Referenzen:

InformationsquelleAutor der Antwort Salman A

36

Ich konnte es nicht auslösen, dass auf jeder Seite. Eine robustere version dieses es tun würde:
```
window.console.log = function(){
    console.error('The developer console is temp...');
    window.console.log = function() {
        return false;
    }
}

console.log('test');
```
Zur Formatierung der Ausgabe: Farben in der JavaScript-Konsole

Bearbeiten Denken @joeldixon66 hat die richtige Idee: Deaktivieren Sie die Ausführung von JavaScript in der Konsole « ::: KSpace :::

InformationsquelleAutor der Antwort Will

Neben der Neudefinition console._commandLineAPI
es gibt einige andere Möglichkeiten, um in zu brechen InjectedScriptHost auf WebKit-Browsern zu verhindern, oder ändern Sie die Bewertung von Ausdrücken, eingetragen in der Entwickler-Konsole.

Edit:

Chrome behoben hat dies in einem früheren release. - das muss gewesen sein, bevor im Februar 2015 habe ich die Kernaussage damals

So, hier ist eine andere Möglichkeit. Dieses mal haben wir Haken in eine Ebene über, direkt in InjectedScript eher als InjectedScriptHost im Gegensatz zu der vorherigen version.

Die ist ganz nett, da kann man direkt monkey patch InjectedScript._evaluateAndWrap anstatt verlassen sich auf InjectedScriptHost.evaluate so, dass Sie mehr feinkörnige Kontrolle über das, was passieren soll.

Anderen ziemlich interessante Sache ist, dass wir Sie abfangen können den internen Ergebnis, wenn ein Ausdruck ausgewertet wird, und zurück, dass dem Benutzer anstelle des normalen Verhaltens.

Hier ist der code, das macht genau das, die Rückkehr der internen Ergebnis, wenn ein Benutzer prüft etwas in der Konsole.

var is;
Object.defineProperty(Object.prototype,"_lastResult",{
   get:function(){
       return this._lR;
   },
   set:function(v){
       if (typeof this._commandLineAPIImpl=="object") is=this;
       this._lR=v;
   }
});
setTimeout(function(){
   var ev=is._evaluateAndWrap;
   is._evaluateAndWrap=function(){
       var res=ev.apply(is,arguments);
       console.log();
       if (arguments[2]==="completion") {
           //This is the path you end up when a user types in the console and autocompletion get's evaluated

           //Chrome expects a wrapped result to be returned from evaluateAndWrap.
           //You can use `ev` to generate an object yourself.
           //In case of the autocompletion chrome exptects an wrapped object with the properties that can be autocompleted. e.g.;
           //{iGetAutoCompleted: true}
           //You would then go and return that object wrapped, like
           //return ev.call (is, '', '({test:true})', 'completion', true, false, true);
           //Would make `test` pop up for every autocompletion.
           //Note that syntax as well as every Object.prototype property get's added to that list later,
           //so you won't be able to exclude things like `while` from the autocompletion list,
           //unless you wou'd find a way to rewrite the getCompletions function.
           //
           return res; //Return the autocompletion result. If you want to break that, return nothing or an empty object
       } else {
           //This is the path where you end up when a user actually presses enter to evaluate an expression.
           //In order to return anything as normal evaluation output, you have to return a wrapped object.

           //In this case, we want to return the generated remote object. 
           //Since this is already a wrapped object it would be converted if we directly return it. Hence,
           //`return result` would actually replicate the very normal behaviour as the result is converted.
           //to output what's actually in the remote object, we have to stringify it and `evaluateAndWrap` that object again.`
           //This is quite interesting;
           return ev.call (is, null, '(' + JSON.stringify (res) + ')', "console", true, false, true)
       }
   };
},0);

Es ist ein bisschen verbose, aber ich dachte, ich einige Kommentare in es

Also normalerweise, wenn ein Benutzer, zum Beispiel, wertet [1,2,3,4] würden Sie erwarten, dass die folgende Ausgabe:

Wie deaktiviert Facebook die integrierten Entwicklertools des Browsers?

Nach monkeypatching InjectedScript._evaluateAndWrap Bewertung der gleiche Ausdruck ist, gibt die folgende Ausgabe:

Wie deaktiviert Facebook die integrierten Entwicklertools des Browsers?

Als Sie sehen den kleinen linken Pfeil, der angibt, Ausgang, ist immer noch da, aber dieses mal bekommen wir ein Objekt. Wo ist das Ergebnis des Ausdrucks, array [1,2,3,4] wird dargestellt als ein Objekt mit allen seinen Eigenschaften beschrieben.

Empfehle ich versuchen, dies zu bewerten und Ausdruck, einschließlich derjenigen, die Fehler erzeugen. Es ist sehr interessant.

Darüber hinaus werfen Sie einen Blick auf die is - InjectedScriptHost - Objekt. Es gibt einige Methoden, um mit zu spielen und bekommen ein wenig Einblick in die Interna der Inspektor.

Natürlich könnte man abfangen, dass alle Informationen und noch zurück, dem ursprünglichen Ergebnis an den Benutzer.

Ersetzen Sie einfach die return-Anweisung in den else-Pfad durch einen console.log (res) nach einer return res. Dann würden Sie am Ende mit den folgenden.

Wie deaktiviert Facebook die integrierten Entwicklertools des Browsers?

Ende Bearbeiten

Dies ist die Vorherige version wurde behoben, durch Google. Somit keine Möglichkeit mehr.

~~Einer der es Einhängen in Function.prototype.call~~

~~Chrome wertet den eingegebenen Ausdruck von callTEN seiner Funktion eval mit InjectedScriptHost als thisArg~~

var result = evalFunction.call(object, expression);

Gegeben, die Sie hören können, für die thisArg von call wird evaluate und erhalten Sie einen Verweis auf das erste argument (InjectedScriptHost)

if (window.URL) {
    var ish, _call = Function.prototype.call;
    Function.prototype.call = function () { //Could be wrapped in a setter for _commandLineAPI, to redefine only when the user started typing.
        if (arguments.length > 0 && this.name === "evaluate" && arguments [0].constructor.name === "InjectedScriptHost") { //If thisArg is the evaluate function and the arg0 is the ISH
            ish = arguments[0];
            ish.evaluate = function (e) { //Redefine the evaluation behaviour
                throw new Error ('Rejected evaluation of: \n\'' + e.split ('\n').slice(1,-1).join ("\n") + '\'');
            };
            Function.prototype.call = _call; //Reset the Function.prototype.call
            return _call.apply(this, arguments);  
        }
    };
}

Kann man z.B. einen Fehler ausgeben, dass die Auswertung wurde abgelehnt.

Wie deaktiviert Facebook die integrierten Entwicklertools des Browsers?

_{Hier ist ein Beispiel, wo der eingegebene Ausdruck wird weitergeleitet, um eine CoffeeScript-compiler vor der übergabe an die evaluate - Funktion.}

InformationsquelleAutor der Antwort Moritz Roessler

Netflix auch implementiert dieses feature

(function() {
    try {
        var $_console$$ = console;
        Object.defineProperty(window, "console", {
            get: function() {
                if ($_console$$._commandLineAPI)
                    throw "Sorry, for security reasons, the script console is deactivated on netflix.com";
                return $_console$$
            },
            set: function($val$$) {
                $_console$$ = $val$$
            }
        })
    } catch ($ignore$$) {
    }
})();

Sie nur überschreiben console._commandLineAPI zu werfen security Fehler.

InformationsquelleAutor der Antwort Fizer Khan

18

Dies ist tatsächlich möglich, da Facebook in der Lage war, es zu tun.
Gut, nicht die tatsächliche web-Entwickler-tools, aber die Ausführung von Javascript in der Konsole.

Sehen: Wie funktioniert Facebook deaktivieren, den browser integrierten Entwicklertools?

Diese wirklich nicht viel tun, aber da gibt es andere Möglichkeiten, zu umgehen, diese Art von client-side security.

Wenn Sie sagen, es ist client-side, es passiert außerhalb der Kontrolle der server, also es gibt nicht viel Sie dagegen tun können. Wenn Sie sich Fragen, warum Facebook immer noch nicht, dies ist nicht wirklich für die Sicherheit, sondern auch Schutz vor normalen Benutzern, die nicht wissen, javascript-Ausführung von code (, dass Sie nicht wissen, wie zu Lesen ist) in der Konsole. Dies ist Häufig für Websites, die Versprechen, auto-liker-service oder andere Facebook-Funktionalität bots, nachdem Sie tun, was Sie Sie bitten, zu tun, wo in den meisten Fällen, Sie geben Ihnen einen Ausschnitt von javascript ausführen in der Konsole.

Wenn Sie nicht so viel Benutzer wie Facebook, dann glaube ich nicht, es gibt keine Notwendigkeit zu tun, was Facebook tut.

Selbst wenn Sie Javascript deaktivieren in der Konsole ausführen von javascript über die Adressleiste immer noch möglich ist.

und wenn der browser deaktiviert javascript in die Adressleiste (Wenn Sie fügen Sie code auf der Adressleiste in Google Chrome, es löscht den Satz 'javascript:') einfügen von javascript-Code in einem der links über element untersuchen ist weiterhin möglich.

Prüfen der Anker:

Einfügen von code in href:

Strich ist das server-seitige Validierung und Sicherheit sollten die ersten sein, führen Sie dann die client-Seite nach.

InformationsquelleAutor der Antwort Jomar Sevillejo
5

Chrome sich viel verändert seit der Zeit facebook deaktivieren Konsole...

Stand März 2017 dieses nicht mehr funktioniert.

Besten können Sie tun ist, deaktivieren Sie einige der console-Funktionen, Beispiel:
```
if(!window.console) window.console = {};
var methods = ["log", "debug", "warn", "info", "dir", "dirxml", "trace", "profile"];
for(var i=0;i<methods.length;i++){
    console[methods[i]] = function(){};
}
```
InformationsquelleAutor der Antwort Alpha2k

Mein einfacher Weg, aber es kann helfen, für weitere Variationen zu diesem Thema.
Liste aller Methoden, und verändern Sie nutzlos.

  Object.getOwnPropertyNames(console).filter(function(property) {
     return typeof console[property] == 'function';
  }).forEach(function (verb) {
     console[verb] =function(){return 'Sorry, for security reasons...';};
  });

InformationsquelleAutor der Antwort Dusan Krstic

Dies ist nicht eine Sicherheitsmaßnahme für schwach-code, um unbeaufsichtigt gelassen werden. Bekomme immer eine dauerhafte Lösung zu schwach-code und sichern Sie sich Ihre websites ordnungsgemäß vor der Umsetzung dieser Strategie

Ist das beste tool weit nach meinem wissen wäre Sie mehrere javascript-Dateien, die einfach änderungen, die die Integrität der Seite wieder normal aktualisieren oder ersetzen Inhalte. Deaktivieren Sie dieses Entwickler-tool wäre nicht die beste Idee, da die Umgehung ist immer in Frage, da der code ist Teil des Browsers und nicht auf einem server Rendern, so könnte Sie geknackt werden.

Sollten Sie js file one Prüfung für <element> änderungen auf wichtige Elemente und js file two und js file three zu prüfen, dass diese Datei vorhanden ist, der pro Periode Sie haben die volle Integrität wiederherstellen auf der Seite innerhalb der Frist.

Nehmen wir ein Beispiel von den 4 Dateien und zeigen Sie, was ich meine.

index.html

   <!DOCTYPE html>
   <html>
   <head id="mainhead">
   <script src="ks.js" id="ksjs"></script>
   <script src="mainfile.js" id="mainjs"></script>
   <link rel="stylesheet" href="style.css" id="style">
   <meta id="meta1" name="description" content="Proper mitigation against script kiddies via Javascript" >
   </head>
   <body>
   <h1 id="heading" name="dontdel" value="2">Delete this from console and it will refresh. If you change the name attribute in this it will also refresh. This is mitigating an attack on attribute change via console to exploit vulnerabilities. You can even try and change the value attribute from 2 to anything you like. If This script says it is 2 it should be 2 or it will refresh. </h1>
   <h3>Deleting this wont refresh the page due to it having no integrity check on it</h3>

   <p>You can also add this type of error checking on meta tags and add one script out of the head tag to check for changes in the head tag. You can add many js files to ensure an attacker cannot delete all in the second it takes to refresh. Be creative and make this your own as your website needs it. 
   </p>

   <p>This is not the end of it since we can still enter any tag to load anything from everywhere (Dependent on headers etc) but we want to prevent the important ones like an override in meta tags that load headers. The console is designed to edit html but that could add potential html that is dangerous. You should not be able to enter any meta tags into this document unless it is as specified by the ks.js file as permissable. <br>This is not only possible with meta tags but you can do this for important tags like input and script. This is not a replacement for headers!!! Add your headers aswell and protect them with this method.</p>
   </body>
   <script src="ps.js" id="psjs"></script>
   </html>

mainfile.js

   setInterval(function() {
   //check for existence of other scripts. This part will go in all other files to check for this file aswell. 
   var ksExists = document.getElementById("ksjs"); 
   if(ksExists) {
   }else{ location.reload();};

   var psExists = document.getElementById("psjs");
   if(psExists) {
   }else{ location.reload();};

   var styleExists = document.getElementById("style");
   if(styleExists) {
   }else{ location.reload();};


   }, 1 * 1000); //1 * 1000 milsec

ps.js

   /*This script checks if mainjs exists as an element. If main js is not existent as an id in the html file reload!You can add this to all js files to ensure that your page integrity is perfect every second. If the page integrity is bad it reloads the page automatically and the process is restarted. This will blind an attacker as he has one second to disable every javascript file in your system which is impossible.

   */

   setInterval(function() {
   //check for existence of other scripts. This part will go in all other files to check for this file aswell. 
   var mainExists = document.getElementById("mainjs"); 
   if(mainExists) {
   }else{ location.reload();};

   //check that heading with id exists and name tag is dontdel.
   var headingExists = document.getElementById("heading"); 
   if(headingExists) {
   }else{ location.reload();};
   var integrityHeading = headingExists.getAttribute('name');
   if(integrityHeading == 'dontdel') {
   }else{ location.reload();};
   var integrity2Heading = headingExists.getAttribute('value');
   if(integrity2Heading == '2') {
   }else{ location.reload();};
   //check that all meta tags stay there
   var meta1Exists = document.getElementById("meta1"); 
   if(meta1Exists) {
   }else{ location.reload();};

   var headExists = document.getElementById("mainhead"); 
   if(headExists) {
   }else{ location.reload();};

   }, 1 * 1000); //1 * 1000 milsec

ks.js

   /*This script checks if mainjs exists as an element. If main js is not existent as an id in the html file reload! You can add this to all js files to ensure that your page integrity is perfect every second. If the page integrity is bad it reloads the page automatically and the process is restarted. This will blind an attacker as he has one second to disable every javascript file in your system which is impossible.

   */

   setInterval(function() {
   //check for existence of other scripts. This part will go in all other files to check for this file aswell. 
   var mainExists = document.getElementById("mainjs"); 
   if(mainExists) {
   }else{ location.reload();};
   //Check meta tag 1 for content changes. meta1 will always be 0. This you do for each meta on the page to ensure content credibility. No one will change a meta and get away with it. Addition of a meta in spot 10, say a meta after the id="meta10" should also be covered as below.
   var x = document.getElementsByTagName("meta")[0];
   var p = x.getAttribute("name");
   var s = x.getAttribute("content");
   if (p != 'description') {
   location.reload();
   }
   if ( s != 'Proper mitigation against script kiddies via Javascript') {
   location.reload();
   }
   //This will prevent a meta tag after this meta tag @ id="meta1". This prevents new meta tags from being added to your pages. This can be used for scripts or any tag you feel is needed to do integrity check on like inputs and scripts. (Yet again. It is not a replacement for headers to be added. Add your headers aswell!)
   var lastMeta = document.getElementsByTagName("meta")[1];
   if (lastMeta) {
   location.reload();
   }
   }, 1 * 1000); //1 * 1000 milsec

Stil.css

Nun, dies ist nur zu zeigen, dass es geht auf alle Dateien und tags aswell

   #heading {
   background-color:red;
   }

Wenn du alle diese Dateien zusammen und bauen Sie den Beispiel sieht man die Funktion dieser Maßnahme. Dies wird verhindern, dass einige unvorhergesehene Injektionen sollten Sie es implementieren korrekt auf alle wichtigen Elemente, die in Ihre index-Datei vor allem bei der Arbeit mit PHP.

Warum ich wählte reload anstelle von ändern zurück zum normal-Wert pro Attribut ist die Tatsache, dass einige Angreifer hätten von einem anderen Teil der website, die bereits konfiguriert und bereit, und es vermindert code Betrag. Der laden wird entfernen Sie alle Angreifer ist harte Arbeit, und er wird wahrscheinlich spielen Sie irgendwo einfacher.

Noch ein Hinweis: Dies könnte zu einer Menge von code, so halten Sie es sauber und machen Sie sicher, dass Sie Definitionen an, wo Sie hingehören, um Sie zu Bearbeiten einfach in Zukunft. Auch stellen Sie die Sekunden, um Ihre bevorzugte Höhe als 1-Sekunden-Intervallen auf großen Seiten könnte drastische Auswirkungen auf älteren Computern Ihrer Besucher könnten mit

InformationsquelleAutor der Antwort

0

eine einfache Lösung!
```
setInterval(()=>console.clear(),1500);
```
InformationsquelleAutor der Antwort Mohmmad Ebrahimi Aval

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.