如何机智的弄坏一台电脑?来自一名前端工程师的报复...

2018 年 8 月 26 日 黑白之道


很多人都在说:“技术领域当中,前端最没有技术含量,且容易被替代。”有人说,前端的能力界限顶多就在浏览器那儿,无论你触发了多少bug,最多导致浏览器崩溃,连电脑系统都影响不了。


就像二次元各种炫酷的毁灭世界,都不会导致三次元的世界末日。


这我就不能忍了。作为一个前端,我发现还是有方式突破次元壁、打开次元大门的…


这个实验脑洞较大,动机无聊,但某种意义上反映了一些安全问题。


想象一下,有天你在家里上网,吃着火锅还唱着歌,点开一个链接,电脑突然就蓝屏了!想想还真有点小激动。


起因


故事得从localStorage(本地存储)说起。


html5的本地存储,相信大家都不陌生。将数据以二进制文件形式存储到本地,在当前应用得非常广泛。


windows下的chrome,localStorage存储于C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default\Local Storage文件夹中。但如果任由网页无限写文件,对用户硬盘的伤害可想而知,因而浏览器对其做了大小限制。


对于一个域名+端口,PC端的上限是5M-10M之间,移动端的则是不大于2.5M。


那么问题就变成:这样的限制足够保护用户硬盘了吗?

关键


关键的问题在于,这一限制,针对的是一个域名+端口。


也就是说,你访问同一个域名的不同端口,它们的localStorage并无关联,是分开存储的。


我用node简单地开启了服务器,这时,用户访问http://127.0.0.1:1000到http://127.0.0.1:1099这100个端口,会请求到同一个页面index.html。




当然,这个index.html里涉及了localStorage写操作。




我试着用浏览器分别访问了几个端口,结果是分开存储。一切跟剧本一样。

自动遍历


但这种程度还不够。


如果要让实验变得更好(xie)玩(e)一些,问题就变成如何让用户自动遍历这些端口?


iframe是个好的尝试。


只要一打开http://127.0.0.1: 1000,页面的脚本就会创建一个iframe,去请求http://127.0.0.1: 1001,一直循环下去。



当然iframe我们还可以设置为不可见,以掩盖这种不厚道的行为…


比方说,有人发给你一个链接,你打开后发现是个视频,而你根本注意不到背后的脚本,在视频播放的几分钟里,快要把你的C盘写满。


然后我就看到请求如潮水渐涨:



但是,请求到1081端口,最新的chrome就崩溃掉了…原来iframe嵌套太多,已经到达了浏览器的极限。

防止浏览器崩溃


C盘还未撑满,同志还需努力。怎么办?


突然想到,到达iframe极限之前,我们可以重定向啊。


每访问50个端口,就使用window.location.href重定向一次,去确保浏览器不崩溃。



事实证明,这种野蛮的方法的确可行。


至此,只要访问http://127.0.0.1: 1000,就会往Local Storage文件夹里写入近500M无用数据:



里面的数据是这样的:




继续实验的黑科技


算了下我的C盘还有空间嘛,那就把端口数量从100增长到200个。结果是这样的,到达了1.17G大小。




在后续的实验中,我就慢慢地把端口数量与存储的数据调大。


电脑也运行得越来越慢。这是为什么呢?


我观察到,有时候执行localStorage.setItem()后,在文件夹里不一定立即能看到数据文件。我怀疑这些数据会被chrome先放到内存里,以避免重复读写带来的消耗,在空闲或关闭的时机,再写进硬盘里。


但此时,浏览器已经影响到系统了。它处于一种“不会崩溃”,但“因为占用了许多内存,已经妨碍用户电脑的正常使用”的状态。


即使用户关闭了浏览器窗口,也不会很快恢复。要知道读写任务并不是随窗口关闭而终止的,否则浏览器会丢失数据。


遭遇黑科技的人们能做的只有:


  • 等待;

  • 用任务管理器关掉chrome进程,再等待;

  • 相信并尝试“重启电脑解决90%电脑问题”的科学论断。


可以说,浏览器的内心几乎是崩溃的。

最后


最后,还是得用严肃脸告诫一下:害人之心不可有。


本实验,从一开始就是怀揣着将安全问题上交给国家的初衷去做的(是的就是这么纯粹)。


后续,看着C盘还有2G空间,我又把端口增长到2000个,试下会发生什么。


由于请求过多,需要一定时间,我就去做别的事情了。


回来后发现房间安静祥和,美轮美奂,一片蓝光,像是加了特技。



那么…

问题来了,计算机修理哪家强?

有点急…


文章出处:编程微刊

原文链接:http://litten.me/

登录查看更多
0

相关内容

前端工程师是Web前端开发工程师的简称,是近五年才真正开始受到重视的一个新兴职业。Web前端开发技术是一个先易后难的过程,主要包括三个要素:HTML(标准通用标记语言下的一个应用)、级联样式表和JavaScript。
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
一份简明有趣的Python学习教程,42页pdf
专知会员服务
76+阅读 · 2020年6月22日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
【资源】100+本免费数据科学书
专知会员服务
107+阅读 · 2020年3月17日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
PC微信逆向:两种姿势教你解密数据库文件
黑客技术与网络安全
16+阅读 · 2019年8月30日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
已删除
将门创投
18+阅读 · 2019年2月18日
抖音爬虫
专知
3+阅读 · 2019年2月11日
说说我的老同事,前端大神程劭非
余晟以为
17+阅读 · 2019年1月14日
Python | 爬爬爬:爬百度云,爬百度贴吧,爬爱奇艺
计算机与网络安全
3+阅读 · 2018年3月30日
浅谈浏览器 http 的缓存机制
前端大全
6+阅读 · 2018年1月21日
Arxiv
5+阅读 · 2019年2月28日
Attend More Times for Image Captioning
Arxiv
6+阅读 · 2018年12月8日
Arxiv
6+阅读 · 2018年2月7日
Arxiv
4+阅读 · 2018年1月15日
Arxiv
27+阅读 · 2017年12月6日
VIP会员
相关VIP内容
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
一份简明有趣的Python学习教程,42页pdf
专知会员服务
76+阅读 · 2020年6月22日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
【资源】100+本免费数据科学书
专知会员服务
107+阅读 · 2020年3月17日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
相关资讯
PC微信逆向:两种姿势教你解密数据库文件
黑客技术与网络安全
16+阅读 · 2019年8月30日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
已删除
将门创投
18+阅读 · 2019年2月18日
抖音爬虫
专知
3+阅读 · 2019年2月11日
说说我的老同事,前端大神程劭非
余晟以为
17+阅读 · 2019年1月14日
Python | 爬爬爬:爬百度云,爬百度贴吧,爬爱奇艺
计算机与网络安全
3+阅读 · 2018年3月30日
浅谈浏览器 http 的缓存机制
前端大全
6+阅读 · 2018年1月21日
相关论文
Arxiv
5+阅读 · 2019年2月28日
Attend More Times for Image Captioning
Arxiv
6+阅读 · 2018年12月8日
Arxiv
6+阅读 · 2018年2月7日
Arxiv
4+阅读 · 2018年1月15日
Arxiv
27+阅读 · 2017年12月6日
Top
微信扫码咨询专知VIP会员