《白帽子讲Web安全》2-客户端脚本安全

最新推荐文章于 2024-04-16 20:22:38 发布
最新推荐文章于 2024-04-16 20:22:38 发布
阅读量345 收藏
点赞数
文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ch_fu/article/details/79725115
版权

第2篇 客户端脚本安全

第2章 浏览器安全

2.1 同源策略(Same Origin Policy)

  1. 同源策略是浏览器最核心也最基本的安全功能。
  2. 影响“源”的因素:
    • 域名
    • 端口
    • 协议

对于http://www.example.com/dir/page.html这个网址

http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)
  1. 浏览器中
    • DOM、Cookie、XMLHttpRequest会受到同源策略的限制。
    • 常见的插件,如Flash、Java Applet、Silverlight、Google Gears等都有自己的控制策略。

2.2 浏览器沙箱(Sandbox)

一些对抗“挂马”的技术:

  1. 多进程架构

    • 将浏览器的各个功能模块分开,各个浏览器实例分开,当一个进程崩溃时,也不会影响到其他的进程。

  2. 沙箱(Sandbox)

    • Sandbox的设计目的一般是让不可信任的代码运行在一定的环境中,限制不可信任的代码访问隔离区之外的资源。
    • 如果一定要跨越Sandbox的边界,只能通过指定的数据通道,比如封装的API,会严格检查请求的合法性。
  3. 威胁
    • 浏览器所加载的一些第三方插件却不受Sandbox管辖。
    • 近年来被攻克的浏览器,往往都是由于加载的第三方插件出现安全漏洞导致的。

2.3 恶意网址拦截

  1. 常见的恶意网址分类

    • 挂马网站
    • 钓鱼网站

  2. 浏览器厂商目前以推送恶意网址黑名单为主。

    • 识别模型不适合放在客户端,会被攻击者分析、研究并绕过
    • 收集用户的历史记录会侵犯隐私,且数据量庞大

  3. 主流浏览器支持EV SSL证书(Extended Validation SSL Certificate)

    • 主要特色是浏览器会给予EVSSL证书特殊待遇。

2.4 高速发展的浏览器安全

  1. 微软:XSS Filter
  2. Firefox:Content Security Policy(CSP)
  3. “友好”功能可能带来隐患:
    • 浏览器地址栏对畸形URL的处理各自不同。
  4. 浏览器加载的插件也是一个要考虑的安全问题。
    • 可能存在漏洞
    • 插件本身可能有恶意行为
    • 扩展和插件的权限都高于页面JavaScript的权限
ch_fu
关注
白帽子Web安全-客户端脚本安全
007的专栏
07-16 6580
1.安全世界观 1.1安全三要素 机密性Confidentiality:要求保护数据内容不能泄露,加密是实现机密性要求烦人常见手段; 完整性Integrity:要求保护数据内容是完整,没有被篡改的; 可用性Availability:要求保护资源是“随需而得”。 1.2实施安全评估 资产等级划分:对数据做等级划分,后划分信任域和信任边界; 威胁分析:可能造成危害的来源称为威胁,威胁分析...
白帽子WEB安全
07-17
白帽子WEB安全》是一本专注于网络安全领域的书籍,尤其关注Web应用的安全性。Web安全测试是这个领域的重要组成部分,因为随着互联网技术的发展,Web应用已经深入到我们生活的方方面面,随之而来的是各种网络安全...
白帽子web安全 完整版
03-12
完整版的白帽子web安全,不是只到12章的那种样章,web安全越来越被人重视
客户端脚本安全
weixin_30782293的博客
12-27 129
客户端安全的基础是同源策略,什么是同源策略呢?就是限制了不同源的“document”或脚本,对当前“document”读取或者设置属性。有一点需要注意对于当前页面来说页面内存放JS的域并不重要,重要的是加载js页面所在的域是什么。例如在a.com下加载了<script src="b.com/b.js"></script>。但是b.js是运行在a.com页面中的,所以b.js...
白帽子Web安全(1).zip
08-06
白帽子Web安全》是吴翰清先生的一部经典著作,主要针对网络安全领域的Web安全问题进行了深入浅出的探讨。这本书以独特的视角,从"白帽子"即网络安全专家的角度出发,述了如何发现并防范Web应用程序的安全隐患...
客户端脚本安全笔记(一)
Charle的博客
02-27 465
客户端脚本安全分为: 浏览器安全、跨站脚本攻击(XSS)、跨站点请求伪造(CSRF)、点击劫持(chicking jacking)、html5安全 1.浏览器安全 1.1同源策略(Access-Control-Allow-Origin) 含义:限制了来自不同源的文件或脚本,对当前文件进行设置或读取某些属性(浏览器对于是否同源的判定受域名、子域名、端口、协议影响) 浏览器中的DOM、cookie、X...
客户端脚本安全 书摘
keroroea的专栏
11-14 600
2.1同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能。可以说web是构建在同源策略的基础上的,浏览器只是针对同源策略的一种实现。   浏览器的同源策略,牵制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。   例:在b.com加载的一段JavaScript脚本可以涂改b.com的页面。但在,根据同源策略
白帽子web安全.pdf.rm2
09-24
白帽子web安全.pdf(Part 2),因上传大小限制,故将文件分割成4个部分。4个部分和1个合并文件都下载后放在同一目录下,运行合并文件(.bat)即可将4个部分合并。PS:只有第一个部分需要一个下载积分。
新书开售 | Web安全攻防:渗透测试实战指南(第2版)
Ms08067安全实验室
07-14 543
点击星标,即时接收最新推文这次我要送8本签名书(见文末)距离第1版已经过去了5年,第2版的新书终于上架了!这次更新的内容超过50%购买链接:https://u.jd.com/3ibjeF6面向网络安全新手,囊括目前所有流行的漏洞的原理﹑攻击手段和防御手段通过大量的图、表、命令实例的解说,快速掌握Web渗透技术的具体方法和流程,一步一个台阶地帮助初学者,从零建立作为“白帽子”的基本技能框架。更有各位...
在学习web安全的小白看过来,这本《白帽子web安全》强烈推荐,必读!(附PDF)
m0_74914256的博客
05-23 2847
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分。
Web安全白帽子)之第二篇
weixin_30758821的博客
07-30 142
第二章:浏览器安全 2.1、同源策略   是一种约定,它是浏览器最核心也是最基本的安全功能。   web是构建在同源策略的基础之上,浏览器只是针对同源策略的一种实现 影响“源” 的因素有:host(域名或IP地址,如果是IP地址则看做一个根域名)、子域名、端口、协议 什么叫同源? URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他...
网络安全工程师必读的100本书籍,2024年最新一篇文章教你搞定计算机网络面试
最新发布
uiuuyy67的博客
04-16 622
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频解。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
网络安全从业者超全书单推荐
bluemoon_0的博客
03-07 804
网络安全从业者超全书单推荐
网安人的书单来了!10本必读书籍,一定要看!(附pdf)
z099164的博客
02-07 645
该书是作者的是实际工作经验,也是web安全核心知识点的集合,可操行比较强,实际参考性比较强。从攻击者的角度来审视网络框架,包含了大量实例、源码、渗透测试工具、方法和实践,第2版还在第1版的基础上,增加了一些内容,更全面,技术参考性更强。这本书共499页,4大篇,18章,是阿里最年轻的高级技术专家吴翰清的著作,在全球各地都有发行,安全从业必读书籍,很多业内人士也都强烈推荐。以前我们通过读书来获取知识,但在碎片化的现代社会,阅读已经成为一件“奢侈”的事儿了,但静下心来阅读,你会发现,书的海洋还是及其广阔的。
WEB安全客户端脚本安全
03-24
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。是一系列安全的培训课程,本课程重点是在客户端脚本安全
白帽子Web安全》- 吴翰清著,揭秘互联网安全
"白帽子 Web 安全" 是一本由吴翰清编著的专业书籍,主要探讨了互联网时代的Web安全问题。这本书旨在揭秘黑客攻击技术,教导读者如何保护数据安全和个人隐私,适合从初级到高级的安全从业者阅读。 本书的内容涵盖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值