《白帽子讲web安全》读书笔记系列13：浏览器安全、XSS与CSRF攻击与防御

忘是亡心i 2022-04-24 10:36 154阅读 0赞

1、浏览器安全

1）同源策略：限制来自不同源的document或脚本，对当前document读取或设置某些属性。

影响源的因素：host、子域名、端口、协议

2）挂马：在网页中插入一段恶意代码，利用浏览器漏洞执行任意代码的攻击方式

沙箱：资源隔离类模块，让不可信任的代码运行在一定的环境中，限制其房屋隔离区之外的资源；

3）恶意网址拦截：黑名单拦截

2、跨站脚本攻击（XSS） Cross Site Script 本来为CSS，为与Cascading Style Sheet区别，故安全领域叫做XSS

XSS：客户端脚本安全的头号大敌，黑客通过“HTML注入”篡改页面，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。

反射型XSS：简单地把用户输入的数据“反射”给浏览器，非持久型XSS；

存储型XSS：把用户输入的数据“存储”在服务器，持久攻击。

DOM Based XSS：通过修改页面的DOM节点形成的XSS

XSS攻击成功后，攻击者能够对用户当前浏览器的页面植入恶意脚本，被称为XSS Payload

一个最常见的XSSPayload就是通过读取cookie，从而发起cookie劫持攻击。

强大的XSSPayload:

1）构造GET与POST请求

2）XSS钓鱼

3）识别用户浏览器

4）识别用户安装的软件

5）CSS History Hack 发现用户曾经访问过的网站

6）获取用户真实IP

XSS攻击平台：演示XSS危害，方便渗透测试

Attack API

BeEF

XSS-Proxy

终极武器：XSS Worm

一般而言，用户之间发生交互行为的页面，如果存在存储型XSS，则比较容易发生XSS Worm攻击。

2.1、XSS的防御

1）HttpOnly

严格地说，HttpOnly并非为对抗XSS，而是解决XSS后的cookie劫持攻击。

2）输入检查

同时在客户端javascript中和服务器端代码中实现相同的输入检查，客户端检查可以阻挡大部分误操作的正常用户，从而节约服务器资源。

3）输出检查

2.2、正确的防御XSS

XSS的本质是“HTML注入”，用户的数据被当成了HTML代码的一部分来执行，从而混淆了原本的语义，产生了新的语义。

以下从变量被填充入HTML代码中的不同场景，分析防御方法：

1）在HTML标签中输出 HtmlEncode

2）在HTML属性中输出 HtmlEncode

3）在<script>标签中输出 JavascriptEncode

4）在事件中输出 JavascriptEncode

5）在CSS中输出 encodeForCSS()

6）在地址中输出 如果变量是整改URL，则应该先检查变量是否以http开头（如果不是则自动添加），以保证不会出现伪协议类的XSS攻击，然后再对变量进行URLEncode。

7）处理富文本、防御DOM Based XSS 略。

3、跨站点请求伪造（CSRF） Cross Site Request Forgery

3.1 浏览器cookie分两种：

1）session cookie 临时cookie 保存在浏览器内存，浏览器关闭即失效

2）Third-party cookie 本地cookie 保存在本地，达到expire时间后失效

很多浏览器不会拦截Third-party cookie，如firefox、chrome等，这会利于CSRF攻击；

P3P头的副作用会导致原本拦截Third-party cookie的浏览器也不再拦截。

GET、POST均能构造CSRF攻击；

CSRF Worm，即使没有XSS，仅依靠CSRF，也可能发起大规模蠕虫攻击。

3.2 CSRF的防御

1）验证码

2）Referer Check

常见应用：防止图片盗链，也可用于检查请求是否来自合法的“源”；

缺陷：服务器并非什么时候都能取到referer

3）Anti CSRF Token

CSRF的本质：重要操作的所有参数都可以被攻击者猜测到；

初级解决方案：将URL中的参数值加密；缺点：URL难读、不利于被收藏和数据分析；

优化解决方案：保持URL中的参数不变，增加一个随机的、不可预测的token参数值；

token同时存在于表单和session，服务器验证其一致性，不一致则可能发生了CSRF攻击。

token应用原则：

a、足够随机

b、token不是为了防止重复提交，但可应用于防止表单提交；

c、如果token存于cookie，而不是服务端session，多个相同页面同时操作时，首次操作消耗掉token后，其他页面操作将报token错误；

d、注意token保密性，不要出现在URL中，否则会通过referer被获取，应尽量将之放到表单中，改GET为POST，以避免token泄露；

e、如果存在XSS或其他跨域漏洞，token将被泄露，形成XSRF攻击。

发表评论取消回复

表情：

评论列表（有 0 条评论，154人围观）

还没有评论，来说两句吧...

相关阅读

相关《白帽子讲web安全》读书笔记系列13：浏览器安全、XSS与CSRF攻击与防御

1、浏览器安全 1）同源策略：限制来自不同源的document或脚本，对当前document读取或设置某些属性。影响源的因素：host、子域名、端口、协议 2）挂马：在

忘是亡心i/ 2022年04月24日 10:36/ 0 赞/ 155 阅读

相关《白帽子讲web安全》读书笔记系列1：互联网业务安全

一、安全是产品的一个特性，在设计之初就应该考虑安全隐患。开发者眼中一个项目影响因素优先级排序： 1、功能实现 2、性能 3、可用性 4、如期上线 5、可维护性

分手后的思念是犯贱/ 2022年03月08日 06:36/ 0 赞/ 218 阅读

相关《白帽子讲web安全》读书笔记系列4：Web server配置安全

Web server的安全关注两点： 1、Web server本身是否安全； 2、Web server是否提供了安全的功能；以root或admin账号运行web

港控/mmm°/ 2022年03月02日 12:23/ 0 赞/ 206 阅读

相关《白帽子讲web安全》读书笔记系列3：安全运营

安全运营 find and fix 通过漏洞扫描、渗透测试、代码审计等方式，发现系统中的安全问题，设计安全方案、实施安全方案并最终解决这些问题。 defend and de

浅浅的花香味﹌/ 2022年03月02日 12:21/ 0 赞/ 217 阅读

相关《白帽子讲web安全》读书笔记系列2：SDL

SDL：security development lifecycle 安全开发生命周期微软最早提出，在软件工程中实施，帮助解决软件安全问题的办法。培训安全要求质

墨蓝/ 2022年03月02日 12:18/ 0 赞/ 212 阅读

相关《白帽子讲web安全》读书笔记系列5：注入攻击与防御

1、SQL注入注入攻击的本质：把用户输入的数据当做代码执行条件1：用户可以控制输入；条件2：代码拼接了用户输入的数据最简单的恶意输入：beijing';d

爱被打了一巴掌/ 2022年03月01日 16:24/ 0 赞/ 203 阅读

相关《白帽子讲web安全》读书笔记系列9：加密算法与随机数

1、概述常见的加密算法：分组加密算法：DES、3-DES、Blowfish、IDEA、AES等流密码加密算法：每次只处理一个字节，密钥独立于消息之外，两者通过异或实

布满荆棘的人生/ 2022年02月27日 12:16/ 0 赞/ 114 阅读

相关《白帽子讲web安全》读书笔记系列10：Web框架安全

实施安全方案，要达到好的效果，必须完成两个目标： 1）安全方案争取、可靠； 2）能够发现所有可能存在的安全问题，不出现遗漏。 1、MVC框架安全 MVC：Model-V

蔚落/ 2022年02月26日 01:06/ 0 赞/ 189 阅读

相关《白帽子讲web安全》读书笔记系列12：PHP安全

1、文件包含漏洞代码注入的典型代表，主要由4个函数完成： include() require() include\_once() require\_once()

你的名字/ 2022年02月25日 13:50/ 0 赞/ 234 阅读

相关《白帽子讲Web安全》读书笔记

闲扯再次拜读下这本书，肯定会有所新的收获。这本书之前送人了，不过忘了给谁了。。。只好下载网上的pdf版本来看了，并写下阅读笔记，内容以原文为主。前言 Web 是互联网

太过爱你忘了你带给我的痛/ 2021年12月09日 00:19/ 0 赞/ 311 阅读