জাভাস্ক্রিপ্ট লোড এবং SHA-256


14

এটি একটি বাস্তব-বিশ্ব অ্যাপ্লিকেশন সহ একটি কোড গল্ফ ধাঁধা। কিছু বর্তমান ব্রাউজার, যদি আপনি এমন URL টি প্রবেশ করেন যা দেখে মনে হয়

data:text/html,<script>alert("hi")</script>

প্রদত্ত জাভাস্ক্রিপ্ট কোডটি কার্যকর করবে। এখন ধরুন আপনার কাছে এমন ইউআরএল রয়েছে যা দেখতে দেখতে (সিউডোকোড):

data:text/html,<script>
    myPublicKey="12345678";
    cryptoLib=download("http://example.com/somecryptolib.js");
    if(sha256sum(cryptoLib) == "12345678")
        eval(cryptoLib)
</script>

আপনি যদি এটি কোনও কিউআর কোড হিসাবে ব্যবসায়িক কার্ডে মুদ্রণ করেন , তবে যে কোনও উপযুক্ত ব্রাউজারের সাথে যে ইউআরএল গিয়েছেন তিনি কোনও কিছু ইনস্টল না করেই আপনার সার্বজনীন কী প্রি-লোডযুক্ত একটি পাবলিক-কী ক্রিপ্টো ক্লায়েন্ট পাবেন। হ্যাশ যাচাইকরণের কারণে আপনি আত্মবিশ্বাসী হতে পারেন যে তারা আসল ক্রিপ্টো সফ্টওয়্যার পেয়েছে, এমনকি যদি তাদের আইএসপি ট্র্যাফিকের সাথে হস্তক্ষেপ করে।

দুর্ভাগ্যক্রমে, এই সিউডোকোডের আসল সংস্করণটি কিউআর কোডের জন্য বেশ দীর্ঘ। আমার চ্যালেঞ্জটি: আপনি এটি কতটা সংক্ষিপ্ত করতে পারেন? একটি বাস্তবায়ন হবে:

  • ডেটা হোন: ... URL যা ক্রোম এবং ফায়ারফক্সের অ্যাড্রেস বার থেকে সঠিকভাবে কার্যকর করে। (একটি বৈধ ডেটা তৈরি করতে: ইউআরএল, আপনাকে% 25% হিসাবে এনকোড করতে হবে এবং নিউলাইনগুলি স্ট্রিপ করতে হবে)
  • একটি URL এবং একটি SHA-256 হ্যাশ এম্বেড করা আছে, প্রায় শুরুতে প্লেইন-পাঠ্য স্ট্রিং আক্ষরিক হিসাবে
  • এক্সএমএলএইচটিপিআরকোয়েস্ট (বা অনুরূপ এপিআই) ব্যবহার করে কোনও URL থেকে একটি ফাইল ডাউনলোড করুন । (নোট করুন যে সার্ভারটির অ্যাক্সেস-কন্ট্রোল-মঞ্জুরি-উত্স: * এটি কাজ করার জন্য শিরোনাম অন্তর্ভুক্ত করতে হবে))
  • যদি সেই URL টি সফলভাবে লোড হয় এবং ফলাফলটি প্রত্যাশিত হ্যাশযুক্ত কোনও ফাইল হয়, তবে এটি () প্রকাশ করুন। অন্যথায় কিছুই করবেন না বা একটি ত্রুটি বার্তা দেখান।
  • সমস্ত বিল্টিন জাভাস্ক্রিপ্ট ফাংশন যা ক্রোম এবং ফায়ারফক্স উভয়ের মধ্যে উপস্থিত রয়েছে তা ন্যায্য খেলা, তবে লাইব্রেরি লোড করা অসম্ভব।
  • যতটা সম্ভব বাইট ব্যবহার করুন

আমি ক্রিপ্টোজেএস ( মিনিফাইন্ড সংস্করণ ) ব্যবহার করে একটি নিষ্কলুষ সংস্করণ তৈরি করেছি :

data:text/html,<script>
    u = 'http://localhost:8000'
    h = '5e3f73c606a82d68ef40f9f9405200ce24adfd9a4189c2bc39015345f0ee46d4'
    // Insert CryptoJS here
    r = new XMLHttpRequest;
    r.open('GET', u, false);
    r.send();
    if(CryptoJS.SHA256(r.response) == h)
        eval(r.response);
</script>

যা মিনিফায়ার থেকে বেরিয়ে আসে:

data:text/html,<script>u="http://localhost:8000";h="5e3f73c606a82d68ef40f9f9405200ce24adfd9a4189c2bc39015345f0ee46d4";var CryptoJS=CryptoJS||function(k,w){var f={},x=f.lib={},g=function(){},l=x.Base={extend:function(a){g.prototype=this;var c=new g;a&&c.mixIn(a);c.hasOwnProperty("init")||(c.init=function(){c.$super.init.apply(this,arguments)});c.init.prototype=c;c.$super=this;return c},create:function(){var a=this.extend();a.init.apply(a,arguments);return a},init:function(){},mixIn:function(a){for(var c in a)a.hasOwnProperty(c)&&(this[c]=a[c]);a.hasOwnProperty("toString")&&(this.toString=a.toString)},clone:function(){return this.init.prototype.extend(this)}},t=x.WordArray=l.extend({init:function(a,c){a=this.words=a||[];this.sigBytes=c!=w?c:4*a.length},toString:function(a){return(a||y).stringify(this)},concat:function(a){var c=this.words,d=a.words,b=this.sigBytes;a=a.sigBytes;this.clamp();if(b%254)for(var e=0;e<a;e++)c[b+e>>>2]|=(d[e>>>2]>>>24-8*(e%254)&255)<<24-8*((b+e)%254);else if(65535<d.length)for(e=0;e<a;e+=4)c[b+e>>>2]=d[e>>>2];else c.push.apply(c,d);this.sigBytes+=a;return this},clamp:function(){var a=this.words,c=this.sigBytes;a[c>>>2]&=4294967295<<32-8*(c%254);a.length=k.ceil(c/4)},clone:function(){var a=l.clone.call(this);a.words=this.words.slice(0);return a},random:function(a){for(var c=[],d=0;d<a;d+=4)c.push((1<<30)*4*k.random()|0);return new t.init(c,a)}}),z=f.enc={},y=z.Hex={stringify:function(a){var c=a.words;a=a.sigBytes;for(var d=[],b=0;b<a;b++){var e=c[b>>>2]>>>24-8*(b%254)&255;d.push((e>>>4).toString(16));d.push((e&15).toString(16))}return d.join("")},parse:function(a){for(var c=a.length,d=[],b=0;b<c;b+=2)d[b>>>3]|=parseInt(a.substr(b,2),16)<<24-4*(b%258);return new t.init(d,c/2)}},m=z.Latin1={stringify:function(a){var c=a.words;a=a.sigBytes;for(var d=[],b=0;b<a;b++)d.push(String.fromCharCode(c[b>>>2]>>>24-8*(b%254)&255));return d.join("")},parse:function(a){for(var c=a.length,d=[],b=0;b<c;b++)d[b>>>2]|=(a.charCodeAt(b)&255)<<24-8*(b%254);return new t.init(d,c)}},n=z.Utf8={stringify:function(a){try{return decodeURIComponent(escape(m.stringify(a)))}catch(c){throw Error("Malformed UTF-8 data");}},parse:function(a){return m.parse(unescape(encodeURIComponent(a)))}},B=x.BufferedBlockAlgorithm=l.extend({reset:function(){this._data=new t.init;this._nDataBytes=0},_append:function(a){"string"==typeof a&&(a=n.parse(a));this._data.concat(a);this._nDataBytes+=a.sigBytes},_process:function(a){var c=this._data,d=c.words,b=c.sigBytes,e=this.blockSize,f=b/(4*e),f=a?k.ceil(f):k.max((f|0)-this._minBufferSize,0);a=f*e;b=k.min(4*a,b);if(a){for(var p=0;p<a;p+=e)this._doProcessBlock(d,p);p=d.splice(0,a);c.sigBytes-=b}return new t.init(p,b)},clone:function(){var a=l.clone.call(this);a._data=this._data.clone();return a},_minBufferSize:0});x.Hasher=B.extend({cfg:l.extend(),init:function(a){this.cfg=this.cfg.extend(a);this.reset()},reset:function(){B.reset.call(this);this._doReset()},update:function(a){this._append(a);this._process();return this},finalize:function(a){a&&this._append(a);return this._doFinalize()},blockSize:16,_createHelper:function(a){return function(c,d){return(new a.init(d)).finalize(c)}},_createHmacHelper:function(a){return function(c,d){return(new A.HMAC.init(a,d)).finalize(c)}}});var A=f.algo={};return f}(Math);(function(k){for(var w=CryptoJS,f=w.lib,x=f.WordArray,g=f.Hasher,f=w.algo,l=[],t=[],z=function(a){return (1<<30)*4*(a-(a|0))|0},y=2,m=0;64>m;){var n;a:{n=y;for(var B=k.sqrt(n),A=2;A<=B;A++)if(!(n%25A)){n=!1;break a}n=!0}n&&(8>m&&(l[m]=z(k.pow(y,0.5))),t[m]=z(k.pow(y,1/3)),m++);y++}var a=[],f=f.SHA256=g.extend({_doReset:function(){this._hash=new x.init(l.slice(0))},_doProcessBlock:function(c,d){for(var b=this._hash.words,e=b[0],f=b[1],p=b[2],k=b[3],s=b[4],l=b[5],m=b[6],n=b[7],q=0;64>q;q++){if(16>q)a[q]=c[d+q]|0;else{var v=a[q-15],g=a[q-2];a[q]=((v<<25|v>>>7)^(v<<14|v>>>18)^v>>>3)+a[q-7]+((g<<15|g>>>17)^(g<<13|g>>>19)^g>>>10)+a[q-16]}v=n+((s<<26|s>>>6)^(s<<21|s>>>11)^(s<<7|s>>>25))+(s&l^~s&m)+t[q]+a[q];g=((e<<30|e>>>2)^(e<<19|e>>>13)^(e<<10|e>>>22))+(e&f^e&p^f&p);n=m;m=l;l=s;s=k+v|0;k=p;p=f;f=e;e=v+g|0}b[0]=b[0]+e|0;b[1]=b[1]+f|0;b[2]=b[2]+p|0;b[3]=b[3]+k|0;b[4]=b[4]+s|0;b[5]=b[5]+l|0;b[6]=b[6]+m|0;b[7]=b[7]+n|0},_doFinalize:function(){var a=this._data,d=a.words,b=8*this._nDataBytes,e=8*a.sigBytes;d[e>>>5]|=128<<24-e%2532;d[(e+64>>>9<<4)+14]=k.floor(b/(1<<30)*4);d[(e+64>>>9<<4)+15]=b;a.sigBytes=4*d.length;this._process();return this._hash},clone:function(){var a=g.clone.call(this);a._hash=this._hash.clone();return a}});w.SHA256=g._createHelper(f);w.HmacSHA256=g._createHmacHelper(f)})(Math);r=new XMLHttpRequest;r.open("GET",u,!1);r.send();CryptoJS.SHA256(r.response)==h&&eval(r.response)</script> 

এই ন্যূনতম পাইথন সার্ভারের সাথে পরীক্ষিত:

import BaseHTTPServer

class RequestHandler(BaseHTTPServer.BaseHTTPRequestHandler):
    def do_HEAD(s):
        s.send_response(200)
        s._sendHeaders()
        s.end_headers()
    def do_GET(s):
        s.send_response(200)
        s._sendHeaders()
        s.end_headers()
        s.wfile.write('alert("Success!")')
    def _sendHeaders(s):
        s.send_header("Content-type", "script/javascript");
        s.send_header("Access-Control-Allow-Origin", "*");

def run(server_class=BaseHTTPServer.HTTPServer,
    handler_class=RequestHandler):
    server_address = ('', 8000)
    httpd = server_class(server_address, handler_class)
    httpd.serve_forever()

run()

জাভাস্ক্রিপ্ট অংশটি 4700 বাইট, তবে এটি আরও ছোট হতে পারে। এটি কতটা ছোট হতে পারে?


আকর্ষণীয় প্রশ্ন। ক্লায়েন্টকে সার্ভার থেকে ক্রিপ্টো লাইব্রেরি পাঠানো evalএবং তারপরে লোড করা ক্রিপ্টো লাইব্রেরি দিয়ে দ্বিতীয় অনুরোধ করা কি এই সঠিক বিন্দুকে পরাভূত করবে? আমি একটি সমাধানে কাজ করার জন্য কিছু সময় ব্যয় করেছি এবং ঠিক এটিই শেষ করেছি, তবে তারপরে বুঝতে পেরেছি যে এটি আইএসপি'র উপর নির্ভর করে ক্রিপ্টোর লাইব্রেরিতে ঝামেলা না করা যা একটি সমস্যা।
JayQuerie.com

রাইট; সুরক্ষিত থাকতে, প্রথম লোড হওয়া ফাইলটির URL এর সম্পূর্ণরূপে কোডটি ব্যবহার করে এর হ্যাশটি বৈধ করতে হবে। ভাগ্যক্রমে, এটির জন্য কেবল একটি হ্যাশ ফাংশন প্রয়োজন (যা SHA-256 হওয়া আবশ্যক নয়), যা নিখরচায় 4700 বাইট ছিল এবং সম্ভবত ভারী অপ্টিমাইজেশন সহ <1kb হতে পারে। (এটি তারপরে একটি বৃহত্তর গ্রন্থাগার লোডিং এবং যাচাইকরণ পরিচালনা করে, যেখানে আকারটি এত বেশি গুরুত্ব দেয় না যেহেতু এটি আর কোনও URL এর মধ্যে নেই)।
jimrandomh

"লাইব্রেরি লোড করা অসম্ভব।" - কোড থেকে সম্পন্ন গ্রন্থাগারগুলি লোড করার অনুমতি দেওয়া উচিত নয়, যেমন একটি scriptউপাদান তৈরি করে , এর asyncসম্পত্তি সেট করে falseএবং দস্তাবেজে serোকানোর মাধ্যমে?
জন ডিভোরাক

2
@ জনডভোরাক, তবে আপনি কীভাবে নিশ্চিত করবেন যে গ্রন্থাগারটি পরিবর্তন করা হয়নি?
পিটার টেলর

script/javascript? আপনি বলতে চাচ্ছেন text/javascript
nyuszika7h

উত্তর:


6

844 অক্ষর

K=new XMLHttpRequest;K.open("get","http://localhost:8000",O=j=n=q=0);K.send();m=K.response;l=m.length;k=l+1|63;W=[o=Math.pow];for(H=[R=o(i=2,32)];i<313+l;i++)for(W[i]||(K[q]=o(i,1/3)*R|0,H[q++]=o(i,.5)*R|0,I=2);W[i*I++]=199>I;)o[n>>2]|=(n^l?m.charCodeAt(n):128)<<24-n++%4*8;for(o[k>>2]=8*l;j<=k;H[I-7]+=a=t+T|0)i=j++&63||(a=H[0],b=H[1],c=H[2],d=H[3],e=H[4],f=H[5],g=H[6],h=H[7],0),y=W[i-15],x=W[i-2],t=h+(e<<26^e>>>6^e<<21^e>>>11^e<<7^e>>>25)+(e&f^~e&g)+K[i]+(W[i]=16>i?o[O++]:(y<<25^y>>>7^y<<14^y>>>18^y>>>3)+W[i-7]+(x<<15^x>>>17^x<<13^x>>>19^x>>>10)+W[i-16]),T=(a<<30^a>>>2^a<<19^a>>>13^a<<10^a>>>22)+(a&b^a&c^b&c),H[I=i-63|7]+=h=g,H[I-1]+=g=f,H[I-2]+=f=e,H[I-3]+=e=d+t|0,H[I-4]+=d=c,H[I-5]+=c=b,H[I-6]+=b=a;1581216710^H[0]|111684968^H[1]|4014012921^H[2]|1079115982^H[3]|615382426^H[4]|1099547324^H[5]|956388165^H[6]|4042147540^H[7]||eval(m)

ইউআরএল এবং হ্যাশ মানগুলি হার্ড কোডেড od হ্যাশ দশমিক ডাবল শব্দের হিসাবে এনকোড করা আছে, আমার কোডের মানগুলি পাইথন সার্ভারে স্ক্রিপ্টের সাথে মিল রয়েছে।

আমি ইউআরএল এনকোডিং করতেও বিরক্ত করিনি, তবে আপনি যখন javascript:ইউআরএল বারে ম্যানুয়ালি টাইপ করেন এবং তারপরে কোডটি আটকে দিন (এবং কনসোলেও) এটি কাজ করে।

বাস্তবায়ন অনুগত নয়, তবে এটি 512 এমবি-র চেয়ে ছোট ফাইলগুলির জন্য কাজ করা উচিত।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.