由于这个东东我刚刚学习,没什么例子参考,也没办法动手实践接下来值提供一些可以看看的文章,供以后用到的时候继续学习
CSP简介
什么是CSP?
CSP(Content Security Policy)指的是内容安全策略 ,是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 (XSS) 和数据注入等攻击
这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念
这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容
简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源
CSP意义
防XSS等攻击的利器
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机
CSP应用
CSP 可以由两种方式指定:HTTP Header 和 HTML
HTTP 是在 HTTP 由增加Header的Content-Security-Policy字段来指定,如下
第二种则是由HTML的Meta标签指定,不过这种方式存在缺陷,每个页面都需要添加,而且不能对限制的域名进行上报
<meta http-equiv="Content-Security-Policy" content="default-src 'self' *.xx.com *.xx.cn 'unsafe-inline' 'unsafe-eval';">属性详细用法请参看文章:https://www.cnblogs.com/goloving/p/11186176.html
CSP绕过
可看以下文章
CSP-And-CSP-Bypass:https://wulidecade.cn/2018/09/24/CSP-And-CSP-Bypass/
我的CSP绕过思路及总结:https://xz.aliyun.com/t/5084
实例文章
https://www.freebuf.com/news/139672.html
https://www.cnblogs.com/afanti/p/9298415.html
还有一篇看到的利用data伪协议绕过htmlspecialchars()函数的:https://www.jianshu.com/p/43b9f8776821
结语
可能是自己接触太少,还不太会写这个,不过还看了两个漏洞挖掘的文章几乎都是寻找允许的子域名,通过子域来绕过csp
上面推荐的第一篇实例也是如此,感觉这种形式和CORS的形式差不多,CORS漏洞就是允许的太多
再就是关于dns的那部分了,也算是学到了,带外查询果然是很强大,其他的继续学习吧
437
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
