题 Facebook如何禁用浏览器的集成开发人员工具?


显然,由于最近的诈骗,开发人员工具被人们利用来发布垃圾邮件,甚至用来“破解”帐户。 Facebook已经阻止了开发者工具,我甚至无法使用控制台。

Enter image description here

他们是怎么做到的?? One Stack Overflow帖子声称这是不可能的但Facebook证明他们错了。

只需转到Facebook并打开开发人员工具,在控制台中键入一个字符,然后会弹出此警告。无论你投入什么,它都不会被执行。

这怎么可能?

他们甚至在控制台中阻止了自动完成:

Enter image description here


1561
2018-02-11 03:42


起源


只是为了好玩:console.log = function(){} - tnt-rox


答案:


我是Facebook的安全工程师,这是我的错。我们正在为一些用户测试这一点,看看它是否可以减慢一些用户被欺骗将(恶意)JavaScript代码粘贴到浏览器控制台中的攻击。

需要明确的是:试图阻止黑客客户端是一个 馊主意 一般来说; 这是为了防范 具体的社会工程攻击

如果你最终进入测试组并对此感到恼火,抱歉。 我试图制作旧的退出页面(现在 帮助页面尽可能简单,同时仍然可怕至少停止 一些 受害者

实际代码非常相似 @ joeldixon66的链接;没有任何理由,我们的情况要复杂得多。

Chrome会封装所有控制台代码

with ((console && console._commandLineAPI) || {}) {
  <code goes here>
}

...所以网站重新定义 console._commandLineAPI 投掷:

Object.defineProperty(console, '_commandLineAPI',
   { get : function() { throw 'Nooo!' } })

这是 还不够(试试吧!),但那就是 主要技巧。


结语:Chrome团队决定从用户端JS中击败控制台是一个错误 解决了这个问题,使这种技术无效。之后,增加了额外的保护 保护用户免受自我xss的侵害


2284
2018-02-11 05:33



Chrome确实做了更新,但是这个人又做了一个修复: kspace.in/blog/2014/06/21/... - Roger Gajraj
@Alf,您的选择退出页面现在显示帮助页面,没有任何关闭此保护的可能性。 - arm.localhost
由于某些用户的愚蠢行为,请不要破坏开发人员工具。像这样的“解决方案”让我燃烧着一百万个太阳的愤怒。 - Jonathan Dunlap
我认为谷歌需要发布一个“安全”版本的Chrome,没有DevTools,并强制任何人进行自动更新,只需切换到此版本一次。任何真正注意到差异并需要DevTools的开发人员都应下载“可怕”版本。事实上,直接在下载页面上将它们标记为“可怕”和“安全”,并通过明确声明“你可能在这里因为社会工程攻击告诉你下载可怕版本而阻止达尔文主义者造成伤害;请不要做这个。”上帝保佑你FB开发者如此有创意! - MonkeyZeus
@ n00b那个警告信息只是一个 console.log。 - gcampbell


我使用Chrome开发人员工具找到了Facebook的控制台游戏脚本。以下是可读性稍有变化的脚本。我删除了一些我无法理解的内容:

Object.defineProperty(window, "console", {
    value: console,
    writable: false,
    configurable: false
});

var i = 0;
function showWarningAndThrow() {
    if (!i) {
        setTimeout(function () {
            console.log("%cWarning message", "font: 2em sans-serif; color: yellow; background-color: red;");
        }, 1);
        i = 1;
    }
    throw "Console is disabled";
}

var l, n = {
        set: function (o) {
            l = o;
        },
        get: function () {
            showWarningAndThrow();
            return l;
        }
    };
Object.defineProperty(console, "_commandLineAPI", n);
Object.defineProperty(console, "__commandLineAPI", n);

这样,控制台自动完成无提示失败,而在控制台中键入的语句将无法执行(将记录异常)。

参考文献:


73
2018-02-15 08:16





我无法在任何页面上触发它。一个更强大的版本可以做到这一点:

window.console.log = function(){
    console.error('The developer console is temp...');
    window.console.log = function() {
        return false;
    }
}

console.log('test');

设置输出样式: JavaScript控制台中的颜色

编辑 思维 @ joeldixon66 有正确的想法: 从控制台«::: KSpace :::禁用JavaScript执行


37
2018-02-11 04:02



很酷,但仍然覆盖相同 window.console.log = function(){//empty} 并使用console.log - super cool


除了重新定义 console._commandLineAPI, 还有一些其他方法可以在WebKit浏览器上进入InjectedScriptHost,以防止或改变对开发人员控制台中输入的表达式的评估。

编辑:

Chrome已在过去的版本中修复此问题。 - 当时我创造了这个要点,这肯定是在2015年2月之前 

所以这是另一种可能性。这次我们直接进入上面的一个级别 InjectedScript 而不是 InjectedScriptHost 与之前的版本相反。

哪个好看,因为你可以直接猴子补丁 InjectedScript._evaluateAndWrap 而不是依赖 InjectedScriptHost.evaluate 因为这可以让你对应该发生的事情进行更细粒度的控制。

另一个非常有趣的事情是,我们可以在计算表达式时拦截内部结果 归还那个 对用户而不是正常的行为。

下面是代码,正是这样做,当用户评估控制台中的内容时返回内部结果。

var is;
Object.defineProperty(Object.prototype,"_lastResult",{
   get:function(){
       return this._lR;
   },
   set:function(v){
       if (typeof this._commandLineAPIImpl=="object") is=this;
       this._lR=v;
   }
});
setTimeout(function(){
   var ev=is._evaluateAndWrap;
   is._evaluateAndWrap=function(){
       var res=ev.apply(is,arguments);
       console.log();
       if (arguments[2]==="completion") {
           //This is the path you end up when a user types in the console and autocompletion get's evaluated

           //Chrome expects a wrapped result to be returned from evaluateAndWrap.
           //You can use `ev` to generate an object yourself.
           //In case of the autocompletion chrome exptects an wrapped object with the properties that can be autocompleted. e.g.;
           //{iGetAutoCompleted: true}
           //You would then go and return that object wrapped, like
           //return ev.call (is, '', '({test:true})', 'completion', true, false, true);
           //Would make `test` pop up for every autocompletion.
           //Note that syntax as well as every Object.prototype property get's added to that list later,
           //so you won't be able to exclude things like `while` from the autocompletion list,
           //unless you wou'd find a way to rewrite the getCompletions function.
           //
           return res; //Return the autocompletion result. If you want to break that, return nothing or an empty object
       } else {
           //This is the path where you end up when a user actually presses enter to evaluate an expression.
           //In order to return anything as normal evaluation output, you have to return a wrapped object.

           //In this case, we want to return the generated remote object. 
           //Since this is already a wrapped object it would be converted if we directly return it. Hence,
           //`return result` would actually replicate the very normal behaviour as the result is converted.
           //to output what's actually in the remote object, we have to stringify it and `evaluateAndWrap` that object again.`
           //This is quite interesting;
           return ev.call (is, null, '(' + JSON.stringify (res) + ')', "console", true, false, true)
       }
   };
},0);

它有点冗长,但我想我在其中加入了一些评论

通常,例如,如果用户评估 [1,2,3,4] 你期望以下输出:

enter image description here 

monkeypatching后 InjectedScript._evaluateAndWrap 评估相同的表达式,给出以下输出:

enter image description here

当你看到指示输出的小左箭头仍然存在时,但这次我们得到一个对象。表达式的结果在哪里,数组 [1,2,3,4] 表示为描述其所有属性的对象。

我建议尝试评估此表达式,包括那些产生错误的表达式。这很有趣。

另外,看一下 is  - InjectedScriptHost  -  目的。它提供了一些方法,可以深入了解检查员的内部情况。

当然,您可以拦截所有信息并仍然将原始结果返回给用户。

只需用a替换else路径中的return语句即可 console.log (res) 跟随一个 return res。然后你最终得到以下内容。

enter image description here 

编辑结束 


这是由Google修复的先前版本。因此不再是一种可能的方式。

其中一个是挂钩 Function.prototype.call

Chrome评估输入的表达式 call用它的eval函数 InjectedScriptHost 如 thisArg


26
2018-02-19 14:49





Netflix也实现了这一功能

(function() {
    try {
        var $_console$$ = console;
        Object.defineProperty(window, "console", {
            get: function() {
                if ($_console$$._commandLineAPI)
                    throw "Sorry, for security reasons, the script console is deactivated on netflix.com";
                return $_console$$
            },
            set: function($val$$) {
                $_console$$ = $val$$
            }
        })
    } catch ($ignore$$) {
    }
})();

他们只是覆盖 console._commandLineAPI 抛出安全错误。


19
2018-03-06 06:20





这实际上是可能的,因为Facebook能够做到这一点。 好吧,不是实际的Web开发人员工具,而是在控制台中执行Javascript。

看到这个: Facebook如何禁用浏览器的集成开发人员工具?

这真的不会做太多,因为有其他方法可以绕过这种类型的客户端安全性。

当你说它是客户端时,它发生在服务器的控制之外,因此你无能为力。如果你问为什么Facebook仍然这样做,这不是为了安全,而是为了保护那些不知道javascript的普通用户运行代码(他们不知道如何阅读)进入控制台。这对于那些承诺自动提供服务或其他Facebook功能机器人的网站来说很常见,在你做他们要求你做的事情之后,在大多数情况下,他们会给你一小段javascript来在控制台中运行。

如果你没有Facebook那样多的用户,那么我认为没有必要去做Facebook正在做的事情。

即使你在控制台中禁用Javascript,仍然可以通过地址栏运行javascript。

enter image description here

enter image description here

如果浏览器在地址栏中禁用了javascript,(当您将代码粘贴到Google Chrome中的地址栏时,它会删除短语'javascript:')将javascript粘贴到其中一个链接中仍然可以通过inspect元素。

检查锚:

enter image description here

在href中粘贴代码:

enter image description here

enter image description here

enter image description here

底线是服务器端验证,安全应该是第一个,然后做客户端。


18
2017-11-05 00:57



“查看此”链接指向此页面。 - Dan Dascalescu
Javasctipt可能...... - Joshua
我没注意到,直到现在@Joshua谢谢! - Jomar Sevillejo


自从facebook可以禁用控制台以来,Chrome改变了很多...

截至2017年3月,这已不再适用。

你可以做的最好是禁用一些控制台功能,例如:

if(!window.console) window.console = {};
var methods = ["log", "debug", "warn", "info", "dir", "dirxml", "trace", "profile"];
for(var i=0;i<methods.length;i++){
    console[methods[i]] = function(){};
}

5
2018-03-12 12:44





我的简单方法,但它可以帮助进一步改变这个主题。 列出所有方法并将其更改为无用。

  Object.getOwnPropertyNames(console).filter(function(property) {
     return typeof console[property] == 'function';
  }).forEach(function (verb) {
     console[verb] =function(){return 'Sorry, for security reasons...';};
  });

3
2017-11-18 22:29





这不是弱代码无人看管的安全措施。在实施此策略之前,始终获得永久性的弱代码解决方案并正确保护您的网站

根据我的知识,迄今为止最好的工具是添加多个javascript文件,只需通过刷新或替换内容就可以将页面的完整性恢复正常。禁用此开发人员工具不是最好的主意,因为绕过问题始终存在问题,因为代码是浏览器的一部分而不是服务器呈现,因此可能会被破解。

你应该有吗? js file one 检查 <element> 重要元素的变化和 js file two 和 js file three 检查此文件是否存在于每个期间,您将在该期间内在页面上进行完整的完整性恢复。

让我们举一个4个文件的例子,告诉你我的意思。

的index.html

   <!DOCTYPE html>
   <html>
   <head id="mainhead">
   <script src="ks.js" id="ksjs"></script>
   <script src="mainfile.js" id="mainjs"></script>
   <link rel="stylesheet" href="style.css" id="style">
   <meta id="meta1" name="description" content="Proper mitigation against script kiddies via Javascript" >
   </head>
   <body>
   <h1 id="heading" name="dontdel" value="2">Delete this from console and it will refresh. If you change the name attribute in this it will also refresh. This is mitigating an attack on attribute change via console to exploit vulnerabilities. You can even try and change the value attribute from 2 to anything you like. If This script says it is 2 it should be 2 or it will refresh. </h1>
   <h3>Deleting this wont refresh the page due to it having no integrity check on it</h3>

   <p>You can also add this type of error checking on meta tags and add one script out of the head tag to check for changes in the head tag. You can add many js files to ensure an attacker cannot delete all in the second it takes to refresh. Be creative and make this your own as your website needs it. 
   </p>

   <p>This is not the end of it since we can still enter any tag to load anything from everywhere (Dependent on headers etc) but we want to prevent the important ones like an override in meta tags that load headers. The console is designed to edit html but that could add potential html that is dangerous. You should not be able to enter any meta tags into this document unless it is as specified by the ks.js file as permissable. <br>This is not only possible with meta tags but you can do this for important tags like input and script. This is not a replacement for headers!!! Add your headers aswell and protect them with this method.</p>
   </body>
   <script src="ps.js" id="psjs"></script>
   </html>

mainfile.js

   setInterval(function() {
   // check for existence of other scripts. This part will go in all other files to check for this file aswell. 
   var ksExists = document.getElementById("ksjs"); 
   if(ksExists) {
   }else{ location.reload();};

   var psExists = document.getElementById("psjs");
   if(psExists) {
   }else{ location.reload();};

   var styleExists = document.getElementById("style");
   if(styleExists) {
   }else{ location.reload();};


   }, 1 * 1000); // 1 * 1000 milsec

ps.js

   /*This script checks if mainjs exists as an element. If main js is not existent as an id in the html file reload!You can add this to all js files to ensure that your page integrity is perfect every second. If the page integrity is bad it reloads the page automatically and the process is restarted. This will blind an attacker as he has one second to disable every javascript file in your system which is impossible.

   */

   setInterval(function() {
   // check for existence of other scripts. This part will go in all other files to check for this file aswell. 
   var mainExists = document.getElementById("mainjs"); 
   if(mainExists) {
   }else{ location.reload();};

   //check that heading with id exists and name tag is dontdel.
   var headingExists = document.getElementById("heading"); 
   if(headingExists) {
   }else{ location.reload();};
   var integrityHeading = headingExists.getAttribute('name');
   if(integrityHeading == 'dontdel') {
   }else{ location.reload();};
   var integrity2Heading = headingExists.getAttribute('value');
   if(integrity2Heading == '2') {
   }else{ location.reload();};
   //check that all meta tags stay there
   var meta1Exists = document.getElementById("meta1"); 
   if(meta1Exists) {
   }else{ location.reload();};

   var headExists = document.getElementById("mainhead"); 
   if(headExists) {
   }else{ location.reload();};

   }, 1 * 1000); // 1 * 1000 milsec

ks.js

   /*This script checks if mainjs exists as an element. If main js is not existent as an id in the html file reload! You can add this to all js files to ensure that your page integrity is perfect every second. If the page integrity is bad it reloads the page automatically and the process is restarted. This will blind an attacker as he has one second to disable every javascript file in your system which is impossible.

   */

   setInterval(function() {
   // check for existence of other scripts. This part will go in all other files to check for this file aswell. 
   var mainExists = document.getElementById("mainjs"); 
   if(mainExists) {
   }else{ location.reload();};
   //Check meta tag 1 for content changes. meta1 will always be 0. This you do for each meta on the page to ensure content credibility. No one will change a meta and get away with it. Addition of a meta in spot 10, say a meta after the id="meta10" should also be covered as below.
   var x = document.getElementsByTagName("meta")[0];
   var p = x.getAttribute("name");
   var s = x.getAttribute("content");
   if (p != 'description') {
   location.reload();
   }
   if ( s != 'Proper mitigation against script kiddies via Javascript') {
   location.reload();
   }
   // This will prevent a meta tag after this meta tag @ id="meta1". This prevents new meta tags from being added to your pages. This can be used for scripts or any tag you feel is needed to do integrity check on like inputs and scripts. (Yet again. It is not a replacement for headers to be added. Add your headers aswell!)
   var lastMeta = document.getElementsByTagName("meta")[1];
   if (lastMeta) {
   location.reload();
   }
   }, 1 * 1000); // 1 * 1000 milsec

style.css文件

现在这只是为了表明它适用于所有文件和标签

   #heading {
   background-color:red;
   }

如果将所有这些文件放在一起并构建示例,您将看到此度量的功能。如果您在索引文件中的所有重要元素上正确实现它,这将阻止一些不可预测的注入,尤其是在使用PHP时。

为什么我选择重新加载而不是将每个属性更改回正常值是因为某些攻击者可能已经配置并准备好网站的另一部分并且它减少了代码量。重新加载将删除所有攻击者的辛勤工作,他可能会更容易在某个地方玩。

另一个说明: 这可能会成为很多代码,因此请保持清洁,并确保将定义添加到它们所属的位置,以便将来轻松编辑。同时将秒数设置为首选金额,大页面上的1秒间隔可能会对访问者可能使用的旧计算机产生严重影响


0
2018-03-04 03:16





简单的解决方案!

setInterval(()=>console.clear(),1500);

0
2018-06-04 06:54



这是如何禁用的 console.log()? - Red
console.log() 控制台不断清理时不再重要:) - Mohmmad Ebrahimi Aval