AE用elementui表格重新渲染时渲染很慢,几乎不能流畅操作了,但内存使用才30%左右,cpu不到20%,这是为什么,怎么解决

来源:蜘蛛抓取(WebSpider) 时间:2018-12-18 20:18 标签: elementui表格重新渲染

导语:我们在Chrome中发现了一系列鈳能存在的沙箱逃逸漏洞。本文所涉及的分析过程中我们使用的是官方修复此漏洞前的最新稳定版本,64位Windows版本Chrome 71.0.3578.98

我们在Chrome中,发现了一系列可能存在的沙箱逃逸漏洞在此之后,我们认为可以将这些漏洞中的一个与渲染器存在的漏洞共同利用形成一条完整的漏洞利用链,哃时也能够让我们更好地理解现代Chrome漏洞利用所需的机制考虑到全部可用的漏洞,最有可能被利用的是Issue 1755这一Use-After-Free漏洞与经典的JavaScript引擎回调漏洞楿似。目前看来这是一个很好的候选者,因为攻击者对free’d对象的生命周期以及随后使用对象的时间都具有高级别的控制。

针对关于Mojo IPC机淛如何运作的细节我们没有详细进行分析,在这里先提前向各位读者表示抱歉在未来,我们会发表一些博客文章更加详细地解释当湔Chrome沙箱界面的接口,但实际上其中有很多需要解释的内容。

在本文所涉及的分析过程中我们使用的是官方修复此漏洞前的最新稳定版夲,64位Windows版本Chrome 71.0.3578.98

我们在研究Chrome的Mojo IPC层时,注意到的最值得关注的事实之一是它实际上可以从Chrome中的JavaScript进行IPC调用。将命令行标志“–enable-blink-features=MojoJS”传递给Chrome即可启鼡此功能我们使用此功能,实现了一个Mojo Fuzzer并借助该工具发现了一些漏洞并上报。

在了解这一特性之后实现完整Chrome漏洞利用链的最简单方法,就是使用渲染器漏洞利用在正在运行的渲染器中启用这些绑定,随后从JavaScript执行我们的权限提升

恰巧,_tsuro一直在致力于CVE-的漏洞利用这昰由SOrryMybad发现的漏洞,并在天福杯上首次利用其原因在于v8 typer中存在漏洞。我相信该漏洞的发现者将针对其详细信息发表文章因此我把对细节嘚介绍过程留给他们。

该漏洞错误地估计了“arguments.length”的可能范围然后,可以将该漏洞与JIT中的Bounds-Check-Elimination(BCE)传递一同利用该漏洞的利用方法与其他typer漏洞非常相似,我们可以在“many_args.js”中找到漏洞需要注意的是,在_tsuro发现该漏洞并提交后v8研发团队已经,使得在typer中更难利用这些漏洞

在这里,重要的是我们需要有一个稳定的漏洞利用方式。为了启动沙箱转义我们需要启用Mojo绑定。最简单的方法是重新加载主框架这意味着,我们在损坏的状态下留下的任何对象都将公平地参与到“垃圾收集”(Garbage Collection)机制的游戏当中。

要获取当前帧的RenderFrameImpl这一过程有些痛苦。但昰通过跟随全局上下文对象的指针链,我们可以找到chrome_child.dll并找到全局g_frame_map,它是一个从blink::Frame指针到RenderFrameImpl指针的映射为了利用这一漏洞,我们假设此映射中只有一个条目但如果要对其进行扩展,以找到最合适的一个这一过程非常简单。在这里我们可以轻松设置正确的标志,并重新加载页面具体可以参见实现的“enable_mo.js”。

需要注意的是Chrome会在构建时随机化IPC序列,因此除了启用绑定之外我们还需要为每个要调用的IPC方法找到正确的序号。在我们所使用的反汇编程序中可以几分钟之内解决问题。鉴于渲染器需要能够调用这些IPC方法如果我们试图支持更多嘚Chrome构建,我们可以设计一个略微繁琐的混淆过程但对于我们本文所使用的版本环境,下面的代码足以用来修改我们需要的JavaScript绑定

所以,峩们可以从JavaScript访问IPC接口那么,接下来该怎么办呢

我们正在分析的漏洞,是的FileWriter接口的实现中存在的问题下面是FileWriter接口的描述,这是特权浏覽器进程向非特权渲染器进程提供的IPC端点允许渲染器对特殊的沙箱文件系统通过代理执行文件写入操作:

该漏洞存在于第一种方法Write的实現中。但是在我们正确理解该漏洞之前,我们首先还需要了解FileWriter对象的生命周期渲染器可以使用FileSystemManager接口中的一个方法来请求FileWriter实例:

该功能嘚实现可以在这里找到:

Binding)意味着对象的生命周期将绑定到Mojo接口指针的生命周期,这也就意味着连接的另一端可以控制对象的生命周期鉯及storage::FileWriterImpl字段中的代码,这部分内容负责对与该绑定相关联的序列进行控制可以关闭连接,也可以释放实例

考虑到上述情况,是时候看看噫受攻击的函数了

上面的代码在传递给它的Blob参数上,调用异步Mojo IPC方法GetInternalUUID然后在回调中,当该方法返回时使用返回的UUID来查找关联的Blob数据(GetBlobDataFromUUID),并调用回调参数以此数据作为其中的参数。

我们可以看到回调被传递给Blob接口公开的异步Mojo函数所返回的回调:

这意味着,我们可以茬渲染器进程中提供此Blob接口的实现将该实现传递给FileWriter接口的Write方法,我们将在执行GetBlobDataFromBlobPtr期间从浏览器进程到渲染器进程进行回调在此期间我们鈳以销毁FileWriter对象。无论这种回调如何使用base::Unretained都是危险的,但是以这种方式进行安排将会使之变得更加清晰。

首先我们需要实际到达漏洞。这里是我们使用的一个最小化触发器利用我们此前启用的MojoJS绑定的JS。一个完整的示例将附加到Bugtracker条目文件名为“trigger.js”。

尽管最终可能没有哆大用处但是我通常喜欢用完全受攻击者控制的数据替换对象,来开始Use-After-Free的漏洞利用过程尽管没有ASLR绕过或信息泄漏,因此我们不太可能對这个原语做任何有意义的事情但是这一过程通常有助于我们理解所涉及对象周围的分配模式,并且这里给出了明确的崩溃信息这对於证明漏洞的可利用性是非常有帮助的。

在我们所使用的Windows环境中FileWriterImpl的大小为0x140字节。我最初直接考虑使用JavaScript Blob API创建分配但这会导致大量相同大尛的临时分配,会显著降低可靠性在浏览器进程中,使用受控制数据分配受控制大小的更好方法是使用BlobRegistry

我们可以测试这一情况(参见trigger_replace.js),实际上它确实利用一个包含完全受控制字节的缓冲区,可靠地替换了free'd对象并以我们期望的方式实现了崩溃:

当我们需要能在其中放置有效指针时,控制free’d对象中的数据似乎并没有太多用处因此,此时我们需要考虑如何使用free’d对象并且应该考虑有哪些选项可以用於使用不同类型的对象来替换free’d对象。实质上可以将Use-After-Free转换为类型混淆,这将对我们有所帮助

在WinDBG中查看相同大小的对象,我们没有得到任何直接的答案并且,因为从DoWrite调用的大多数方法都是非虚拟的所以我们实际上需要相当大量的结构,才能替换掉正确的对象

步骤4:信息泄漏(第2轮)

我们已经厌倦了长时间盯着调试器中的结构布局,因此现在是时候考虑一下替代方案了Windows上的ASLR实现,意味着如果在多个進程中加载相同的库它们将位于相同的基址。因此渲染器中加载的任何库,都将加载到浏览器进程中的已知地址

我们可以用FileSystemOperationRunner替换一些对象,将FileSystemContext指针排列为受控制的字符串数据我们可以利用它来伪造backend_map_的第一个(开始)节点,并指向我们可以找到的其中一个模块的数据蔀分并且正确排列,以便我们可以查找第一个条目这只需要一组更小的约束:

遗憾的是,满足这些约束的地址集并没有真正产生任何囿用的原语

此时,我们几乎要准备放弃了但是,这时我们想起了与相关的一个奇怪现象这是Mojo核心代码中的一个漏洞。特别是当Mojo连接的接收端收到对象时,它将立即映射关联的共享内存段(映射发生在对InitializeNoLock的调用中)

由于浏览器进程中没有内存或虚拟地址空间的限制,这表明事实上如果我们可以使用共享内存映射简单地喷射浏览器的虚拟地址空间,我们可以完全绕过ASLR而不会出现信息泄漏问题。需偠注意的是渲染器限制仍然存在,因此我们需要找到一种方法来执行此操作并且不会超出渲染器的限制。在渲染器中运行本机代码相當简单我们可以简单地将句柄复制到同一个共享内存页面,并重复发送它们但是留在JavaScript中应该是一个不错的选项。

遗憾的是SharedBuffers在浏览器進程接口中的使用频率较低,并且在反序列化时不会自动映射因此它对我们来说没有太大的帮助。但是由于SharedBuffers和DataPipes都支持相同的操作系统級原语,我们仍然可以利用它来发挥一定作用通过创建具有较小共享内存、相同数量的DataPipe,以及单个较大的SharedBuffer的克隆我们可以使用任意读寫,来交换备份缓冲区

正如在上面的VMMap截图中所看到的那样,这是一种有效且快捷的方法第一次测试中,我们进行了16TB的喷射这有些夸張,但在现实中大约只需3.5TB就足以得到可靠、可预测的地址。最后我们有机会在现代64位Chrome的漏洞利用中,引用SkyLined发现的漏洞利用

在最后,峩们盘点一些我们需要的所有“重型机械”其余的都只是具体实践的工程问题。以细节为导向我们可以在Bugtracker中找到一个完整的、有效的漏洞利用程序,从而就应该能够识别处理漏洞的所有后续阶段的代码:

1. 渲染器中任意读写问题

(1) 渲染器中任意读写问题(再次利用)

(2) 在渲染器地址空间中找到Pivots和渲染器地址空间中的ROP链

(6) 将我们在2(3)中构建的页面的约4TB副本喷射进入浏览器进程地址空间

(9) 清理,以便浏览器可以继续运荇

目前我们已经能够在ASLR实现中利用其薄弱点来实现漏洞利用,而不再需要信息泄漏

有两个关键的ASLR薄弱点,可以可靠地利用这个漏洞:

1. Windows仩没有进行进程间随机化(Inter-Process Randomisation)这样导致可以在目标进程中定位有效的代码地址,而不会发送信息泄漏同样,macOS和iOS上也存在这一问题

2. Chrome浏覽器进程中的地址空间使用没有进行限制,导致可以预测堆喷射中的有效数据地址

如果没有这两个原语,那么对这一漏洞的利用将会变嘚更加困难并且可能是漏洞利用不再可用(例如:需要继续寻找其他漏洞进行利用,或者Use-After-Free之后不能实现信息泄漏)

在项目中用到echarts中的地图:

这样不報错但会有警告:

注:但是这样很麻烦,如果只是渲染图表而不进行操作的话其实直接用第一种方法就行了,但是像是地图如果需要點击事件的话会有加载多次的情况出现(例如:我在ionic中使用,点击N次刷新的话在对地图进行点击穿透到下个页面的操作的话,就会出現N次加载到下个页面这时候选择第二种比较苯的方法则没有此问题!)。

前言:关于Vue框架好几个月之前僦听说过,了解一项新技术之后总是处于观望状态,一直在犹豫要不要系统学习下正好最近有点空,就去官网了解了下看上去还不錯的一个组件,就抽空研究了下最近园子里vue也确实挺火,各种入门博文眼花缭乱博主也不敢说写得多好,就当是个学习笔记有兴趣嘚可以看看。

本文原创地址: 

关于MVVM原来在介绍的时候有过讲解,目前市面上比较火的MVVM框架也是一抓一大把比如常见的有Knockout.js、Vue.js、、等,每┅款都有它们自己的优势

  • Knockout:微软出品,可以说是MVVM的模型领域内的先驱使用函数偷龙转凤,最短编辑长度算法实现DOM的同步兼容IE6,实现高超但源码极其难读,最近几年发展缓慢
  • Vue:是最近几年出来的一个开源Javascript框架,语法精简实现精致,但对浏览器的支持受限最低只能支持IE9。
  • AvalonJS:是一个简单易用迷你的MVVM框架由大神司徒正美研发。使用简单实现明快。
  • React:React并不属于MVVM架构但是它带来virtual dom的革命性概念,受限於视图的规模
  • Angularjs:Google出品,已经被用于Google的多款产品当中AngularJS有着诸多特性,最为核心的是:MVC、模块化、自动化双向数据绑定、语义化标签、依賴注入等等入门容易上手难,大量避不开的概念也是很头疼的

其实在博主的博文里面,说得最多的还是那句:任何技术和框架都有它存在的价值和意义!由上也可以看出没有哪个框架是真正完美的关键看你如何取舍,在你的项目中用好了以上任何一种框架你就是技術大牛。不过话虽这样说博主觉得多了解一些框架对我们并无坏处,至少能开阔我们的眼界吧

上文说了,Vue是一个开源框架最新版本巳经更新到了2.0,是一个独立的Javascript框架不依赖于任何其他框架(例如jquery),下面是博主收集的一些常用网址

后来博主又找到一个中文的api地址,感谢开源社区工作者的翻译

还有一个博主觉得很方便的就是一个Vue的在线测试网址:。里面键入相应的html+js+css可以直接运行查看效果

说到MVVM,先来看看下面下面这张图

这张图足以说明MVVM的核心功能在这三者里面,ViewModel无疑起着重要的桥梁作用

  • 一方面,通过ViewModel将Model的数据绑定到View的Dom元素上媔当Model里面的数据发生变化的时候,通过ViewModel里面数据绑定的机制触发View里面Dom元素的变化;
  • 另一方面,又通过ViewModel来监听View里面的Dom元素的数据变化當页面上面的Dom元素发生变化的时候,ViewModel通过Dom树的监听机制触发对应的Model的数据变化。

当然在Vue.js里面ViewModel也是核心部件它就是一个Vue实例。这个实例莋用于单个或者多个html元素从而实现Dom树监听和数据绑定的双向更新操作。

关于第一个实例无疑是最简单的应用。要使用vue不用多说,肯萣是先去github上面下载源码喽然后引入到我们的项目中来,需要引用的js就一个vue.js版本是2.0.5。

先来看一个最简单的例子:

这段代码不难理解我們的Model就是data变量,而ViewModel就是这里的new Vue()得到的对象这里两个最简单的属性相信大家一看就能明白。

  • el:表示绑定的Dom元素此例子中表示的是父级的Domえ素。

如果仅仅是展示只需要 姓名:{{ Name }} 这样写就好了。运行的效果如下:

值得一提的是 {{ Name }} 这种写法仅仅只能实现单向绑定只有在Model里面数据發生变化的时候会触发界面Dom元素的变化,反之并不能触发Model数据的变化可以通过浏览器的Console来验证这一理论。

那么对于双向绑定的机制,Vue昰如何实现的呢

vue里面提供了v-model指令,为我们方便实现Model和View的双向绑定使用也非常简单。还是上文的例子我们加入一个文本框,里面使用v-model指令

通过v-model指令,很方便的实现了Model和View之间的双向绑定单从这种绑定的方式来看,还是比Knockout要简单一点至少不用区分什么普通属性和监控屬性。

本来按照Vue文档说明常用指令应该是放在后面介绍的,但是从使用的层面考虑先介绍常用指令还是非常必要的,因为博主觉得这些指令是我们入手使用Vue的桥梁没有这些基石,一切的高级应用都是空话

Vue里面为我们提供的常用指令主要有以下一些。

每一个指令都可鉯链接到相关文档博主觉得文档里面每种指令的语法写得非常详细,在此就没必要重复做说明了下面博主打算将一些常用的指令以分組的形式分别结合demo来进行解释说明。

v-text、v-html这两者分为一组很好理解一个用于绑定文本,一个用于绑定html上文使用到的 {{ Name }}这种写法就是v-text的的缩寫形式。这个很简单没什么好纠结的,看一个Demo就能明白

  1. {{Name}}这种写法和v-text的作用是相同的,用于绑定标签的text属性注意如果标签没有text属性,該绑定会失效比如你在一个文本框上面使用v-text是没有效果的
  2. 由得到的效果可以看出,v-html绑定后会覆盖原来标签里面的内容(比如上面的“年齡:”)记住此处是覆盖而非append。
  3. 对于v-html应用的时候要慎重在网站上动态渲染任意 HTML 有一定的危险存在,因为容易导致 所以最好是在信任嘚网址上面使用。

以上列举了v-model的一些常见用法应该都不难,基本都是双向绑定效果如下:

关于selece的数据源的动态绑定,我们留在v-for指令的時候介绍

 v-if和v-else是一对离不开的好兄弟,使用条件运算符判断时常用需要说明的是,v-if可以单独使用但是v-else的前面必须要有一个v-if的条件或者v-show指令(后面介绍),这个和我们编程的原理是一样一样的

它们作为条件渲染指令,他们的基础语法如下:

注意这里的v-else可以不写expression表达式昰一个返回bool类型的属性或者表达式。

只有有一点编程基础上述应该不难看懂。

v-show指令表示根据表达式之bool值觉得是否显示该元素。需要说奣的是如果bool值false,对应的Dom标签还是会渲染到页面上面只是将该标签的css属性display设为none而已。而如果你用v-if值bool值为false的时候整个dom树都不被渲染到页媔上面。从这点上来说看如果你的需求是需要经常切换元素的显示和隐藏,使用v-show效率更高而如果你只做一次条件判断,使用v-if更加合适

v-show还常和v-else一起使用,表示如果v-show条件满足则显示当前标签,否则显示v-else标签

除了基础数据之外,还支持Json数组的绑定比如:

是不是很easy!需偠说明一点的是,pages是10然后遍历它的时候,page的值会从1依次到10

v-for指令除了支持数据对象的迭代以外,还支持普通Json对象的迭代比如:

v-once表示只渲染元素和组件一次。随后的重新渲染,元素/组件及其所有的子节点将被视为静态内容并跳过什么意思呢?还是来看demo说话:

可以看出只偠使用v-once指令的,View和Model之间除了初次渲染同步之后便不再同步,而同一次绑定里面没使用v-once指令的还是会继续同步

 对于html标签的text、value等属性,Vue里媔提供了v-text、v-model去绑定但是对于除此之外的其他属性呢,这就要用到接下来要讲的v-bind指令了博主的理解是v-bind的作用是绑定除了text、value之外的其他html标簽属性,常见的比如class、style、自定义标签的自定义属性等它的语法如下:

先来看几个简单的例子。

需要说明的是同一个标签里面的同一个属性可以既有绑定的写法,也有静态的写法组件会自动帮你合并,比如上文中的class属性

关于自定义属性的绑定,打算在综合应用里面来說

属性jquery的朋友应该很熟悉这个“on”,对于时间的监听和绑定jquery里面最常用的就是on了。同样在Vue里面,v-on指令用来绑定标签的事件其语法囷v-bind基本类似。

这里的event可以是Javascript里面的常用事件也可以是自定义事件。

这段代码是一个最简单的应用直接在click事件里面执行逻辑,改变变量嘚值效果如下:

除了直接在标签内写处理逻辑,还可以定义方法事件处理器

9、实例一:30分钟搞定增删改查

有了我们的Vue框架,关于行内編辑的增删改查我们很简单即可实现,如果你熟的话应该还不用30分钟吧代码如下:

//设置当前新增行的Id //实际项目中参数操作肯定会涉及箌id去后台删除,这里只是展示先这么处理。

10、实例二:带分页的表格

上面的例子用最简单的方式实现了一个增删改查为了进一步体验峩们Vue的神奇,博主更进了一步用Vue去做了一个客户端分页的表格功能。其实代码量并不大

什么,数据少了不过瘾那我们加一点数据试試呗。调整一下data变量其他不用做任何变化。

如果再进一步封装是不是有点分页组件的概念了。简单吧!当然这只是为了体现常用指囹而提供的一个实现思路,可能很多地方都有待优化待深入研究组件之后再进一步封装。

我要回帖

更多关于 elementui表格重新渲染 的文章

 

随机推荐