《白帽子讲web安全》读书笔记系列13:浏览器安全、XSS与CSRF攻击与防御

最新推荐文章于 2022-03-22 23:11:22 发布
最新推荐文章于 2022-03-22 23:11:22 发布
阅读量280 收藏
点赞数
分类专栏: 系统安全 文章标签: 浏览器安全 XSS CSRF 攻击 防御

1、浏览器安全

1)同源策略:限制来自不同源的document或脚本,对当前document读取或设置某些属性。

影响源的因素:host、子域名、端口、协议

2)挂马:在网页中插入一段恶意代码,利用浏览器漏洞执行任意代码的攻击方式

沙箱:资源隔离类模块,让不可信任的代码运行在一定的环境中,限制其房屋隔离区之外的资源;

3)恶意网址拦截:黑名单拦截

 

2、跨站脚本攻击(XSS) Cross Site Script 本来为CSS,为与Cascading Style Sheet区别,故安全领域叫做XSS

XSS:客户端脚本安全的头号大敌,黑客通过“HTML注入”篡改页面,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。

反射型XSS:简单地把用户输入的数据“反射”给浏览器,非持久型XSS;

存储型XSS:把用户输入的数据“存储”在服务器,持久攻击。

DOM Based XSS:通过修改页面的DOM节点形成的XSS

XSS攻击成功后,攻击者能够对用户当前浏览器的页面植入恶意脚本,被称为XSS Payload

一个最常见的XSSPayload就是通过读取cookie,从而发起cookie劫持攻击。

强大的XSSPayload:

1)构造GET与POST请求

2)XSS钓鱼

3)识别用户浏览器

4)识别用户安装的软件

5)CSS History Hack 发现用户曾经访问过的网站

6)获取用户真实IP

 

XSS攻击平台:演示XSS危害,方便渗透测试

Attack API

BeEF

XSS-Proxy

 

终极武器:XSS Worm

一般而言,用户之间发生交互行为的页面,如果存在存储型XSS,则比较容易发生XSS Worm攻击。

 

2.1、XSS的防御

1)HttpOnly

严格地说,HttpOnly并非为对抗XSS,而是解决XSS后的cookie劫持攻击。

2)输入检查

同时在客户端javascript中和服务器端代码中实现相同的输入检查,客户端检查可以阻挡大部分误操作的正常用户,从而节约服务器资源。

3)输出检查

2.2、正确的防御XSS

XSS的本质是“HTML注入”,用户的数据被当成了HTML代码的一部分来执行,从而混淆了原本的语义,产生了新的语义。

以下从变量被填充入HTML代码中的不同场景,分析防御方法:

1)在HTML标签中输出 HtmlEncode

2)在HTML属性中输出 HtmlEncode

3)在<script>标签中输出 JavascriptEncode

4)在事件中输出 JavascriptEncode

5)在CSS中输出 encodeForCSS()

6)在地址中输出 如果变量是整改URL,则应该先检查变量是否以http开头(如果不是则自动添加),以保证不会出现伪协议类的XSS攻击,然后再对变量进行URLEncode。

7)处理富文本、防御DOM Based XSS 略。

 

3、跨站点请求伪造(CSRF) Cross Site Request Forgery

3.1 浏览器cookie分两种:

1)session cookie 临时cookie 保存在浏览器内存,浏览器关闭即失效

2)Third-party cookie 本地cookie 保存在本地,达到expire时间后失效

很多浏览器不会拦截Third-party cookie,如firefox、chrome等,这会利于CSRF攻击;

P3P头的副作用会导致原本拦截Third-party cookie的浏览器也不再拦截。

GET、POST均能构造CSRF攻击;

CSRF Worm,即使没有XSS,仅依靠CSRF,也可能发起大规模蠕虫攻击。

3.2 CSRF的防御

1)验证码

2)Referer Check

常见应用:防止图片盗链,也可用于检查请求是否来自合法的“源”;

缺陷:服务器并非什么时候都能取到referer

3)Anti CSRF Token

CSRF的本质:重要操作的所有参数都可以被攻击者猜测到;

初级解决方案:将URL中的参数值加密;缺点:URL难读、不利于被收藏和数据分析;

优化解决方案:保持URL中的参数不变,增加一个随机的、不可预测的token参数值;

token同时存在于表单和session,服务器验证其一致性,不一致则可能发生了CSRF攻击。

token应用原则:

a、足够随机

b、token不是为了防止重复提交,但可应用于防止表单提交;

c、如果token存于cookie,而不是服务端session,多个相同页面同时操作时,首次操作消耗掉token后,其他页面操作将报token错误;

d、注意token保密性,不要出现在URL中,否则会通过referer被获取,应尽量将之放到表单中,改GET为POST,以避免token泄露;

e、如果存在XSS或其他跨域漏洞,token将被泄露,形成XSRF攻击。

 

川中胡子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
白帽子web安全笔记
LYX_WIN
05-12 533
一、Secure By Default原则 1、黑名单和白名单 比如,在制定防火墙的网络访问控制策略时,如果网站只提供 Web 服务,那么正确的做法 是只允许网站服务器的 80 和 443 端口对外提供服务,屏蔽除此之外的其他端口。这是一种“白 名单”的做法;如果使用“黑名单”,则可能会出现问题。假设黑名单的策略是:不允许 SSH 端口对 Internet 开放,那么就要审计 SSH 的默认端口:22 端口是否开放了 Internet。但在实际 工作过程中,经常会发现有的工程师为了偷懒或图方便,私自改变
分享笔记1 之《白帽子web安全
m0_46583081的博客
12-06 416
分享笔记(一)之《白帽子web安全
白帽子web安全浏览器安全
hhh
02-27 8172
白帽子web安全浏览器安全 (一些内容属于个人理解,如有错误请不吝指正) 同源策略 概念 所谓同源,一般是指域名、协议、端口相同。一般来说,只有同源的页面可以互相读取彼此的数据,或者改变彼此在浏览器中的显示。 怎样算是同源? 借用书上的一个例子: 网页a.com通过一下代码加载b.com上的js文件: &gt; \&lt;script src = http://b.com/b.js &gt...
Web安全技术(4)-常见的攻击防御
gp_leo的专栏
04-25 1526
对于一个Web应用来说,可能会面临很多不同的攻击。下面的内容将介绍一些常见的攻击方法,以及面对这些攻击防御手段。
白帽子web安全---web浏览器安全
syf19720428的博客
08-02 2739
同源策略:限制了来自不同源的“document”或脚本,对当前的“document”读取或设置某些属性。 影响同源的因素:host(域名或ip地址),子域名,端口,协议 在浏览器中<script><img><iframe><link>都可以进行跨域加载,带有“src“的属性标签加载资源时,实际上是由浏览器发起一次GET请求。 不同于XMLHttpRequest,通过src属性加载资源时,浏览器
Web安全小总结:XSS,CSRF及其防御
weixin_54787877的博客
02-20 399
其实, 前端的安全并没有很多, 不过知道了, 起码后端兄弟不会那么累了。 本文主要讨论以下几种攻击方式 : XSS方式 CSRF方式 点击劫持 希望大家在阅读完文本之后, 能够很好地回答以下的几个问题: 前端的攻击方式有哪些? 什么是XSS方式? XSS攻击有几种类型?如何防范XSS攻击? 什么是CSRF攻击?如何防范CSRF攻击? 如何检测网站是否安全? XSS方式 XSS(Cross-Site-Scripting),跨站脚本攻击是一种代码注入攻击攻击者在目标网站上注入恶意代码,当被攻击者登录网站时就
白帽子Web安全浏览器安全
weixin_49472648的博客
03-22 4260
客户端脚本安全浏览器安全 文章目录客户端脚本安全浏览器安全前言浏览器安全功能一、同源策略(Same Origin Policy)介绍什么是同源策略?什么是源?影响源的因素同源策略作用同源策略情况分类以下三个标签允许跨域加载资源二、浏览器沙箱什么是沙箱?浏览器需要面对的主要威胁设计目的三、恶意网址拦截拦截方案恶意网站拦截原理四、浏览器的高速发展总结 前言 浏览器才是互联网最大的入口 浏览器天生就是一个客户端 浏览器安全功能 一、同源策略(Same Origin Policy) 介绍 同源策略是一种约定,他
白帽子Web安全读书笔记
冷却
04-04 1518
------ “安全问题的本质是信任的问题” 安全三要素:机密性、完整性、可用性 白帽子兵法:Secure By Default 原则(1:黑白单、白名单 2:最小权限原则)、纵深防御原则、数据与代码分离原则、不可预测性原则 “所有的程序本来也没有漏洞,只有功能,但当一些功能被用于破坏,造成损失时,也就成了漏洞。” 浏览器安全:同源策略、浏览器沙箱(备注:沙箱内的程序要与外界通信时是通过
geopandas-0.13.1-py3-none-any.whl
08-31
GeoPandas是一个开源的Python库,旨在简化地理空间数据的处理和分析。它结合了Pandas和Shapely的能力,为Python用户提供了一个强大而灵活的工具来处理地理空间数据。以下是关于GeoPandas的详细介绍: 一、GeoPandas的基本概念 1. 定义 GeoPandas是建立在Pandas和Shapely之上的一个Python库,用于处理和分析地理空间数据。 它扩展了Pandas的DataFrame和Series数据结构,允许在其中存储和操作地理空间几何图形。 2. 核心数据结构 GeoDataFrame:GeoPandas的核心数据结构,是Pandas DataFrame的扩展。它包含一个或多个列,其中至少一列是几何列(geometry column),用于存储地理空间几何图形(如点、线、多边形等)。 GeoSeries:GeoPandas中的另一个重要数据结构,类似于Pandas的Series,但用于存储几何图形序列。 二、GeoPandas的功能特性 1. 读取和写入多种地理空间数据格式 GeoPandas支持读取和写入多种常见的地理空间数据格式,包括Shapefile、GeoJSON、PostGIS、KML等。这使得用户可以轻松地从各种数据源中加载地理空间数据,并将处理后的数据保存为所需的格式。 2. 地理空间几何图形的创建、编辑和分析 GeoPandas允许用户创建、编辑和分析地理空间几何图形,包括点、线、多边形等。它提供了丰富的空间操作函数,如缓冲区分析、交集、并集、差集等,使得用户可以方便地进行地理空间数据分析。 3. 数据可视化 GeoPandas内置了数据可视化功能,可以绘制地理空间数据的地图。用户可以使用matplotlib等库来进一步定制地图的样式和布局。 4. 空间连接和空间索引 GeoPandas支持空间连接操作,可以将两个GeoDataFrame按照空间关系(如相交、包含等)进行连接。此外,它还支持空间索引,可以提高地理空间数据查询的效率。
lxml-5.0.1-cp310-cp310-win_amd64.whl
08-31
lxml 是一个用于 Python 的库,它提供了高效的 XML 和 HTML 解析以及搜索功能。它是基于 libxml2 和 libxslt 这两个强大的 C 语言库构建的,因此相比纯 Python 实现的解析器(如 xml.etree.ElementTree),lxml 在速度和功能上都更为强大。 主要特性 快速的解析和序列化:由于底层是 C 实现的,lxml 在解析和序列化 XML/HTML 文档时非常快速。 XPath 和 CSS 选择器:支持 XPath 和 CSS 选择器,这使得在文档中查找特定元素变得简单而强大。 清理和转换 HTML:lxml 提供了强大的工具来清理和转换不规范的 HTML,比如自动修正标签和属性。 ETree API:提供了类似于 ElementTree 的 API,但更加完善和强大。 命名空间支持:相比 ElementTree,lxml 对 XML 命名空间提供了更好的支持。
单片机资料c源码通过矩阵按键与数码管单片机资料c源码通过矩阵按键与数码管
08-31
单片机资料c源码通过矩阵按键与数码管单片机资料c源码通过矩阵按键与数码管提取方式是百度网盘分享地址
本地音乐播放器优化版源码20240831
08-31
本地音乐播放器优化版源码20240831。优化后的界面和使用感觉更好。
使用matlab生成动图与视频,仿真实用小技巧
最新发布
08-31
使用matlab生成动图与视频,仿真实用小技巧
SQLAlchemy-2.0.31-cp39-cp39-manylinux_2_17_aarch64.whl
08-31
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 类和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 类来表示数据库表,使用类的实例表示表中的行。 开发者可以定义类之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
监理安全巡视检查记录表.doc
08-31
监理安全巡视检查记录表.doc
lxml-5.0.1-cp27-cp27m-win32.whl
08-31
lxml 是一个用于 Python 的库,它提供了高效的 XML 和 HTML 解析以及搜索功能。它是基于 libxml2 和 libxslt 这两个强大的 C 语言库构建的,因此相比纯 Python 实现的解析器(如 xml.etree.ElementTree),lxml 在速度和功能上都更为强大。 主要特性 快速的解析和序列化:由于底层是 C 实现的,lxml 在解析和序列化 XML/HTML 文档时非常快速。 XPath 和 CSS 选择器:支持 XPath 和 CSS 选择器,这使得在文档中查找特定元素变得简单而强大。 清理和转换 HTML:lxml 提供了强大的工具来清理和转换不规范的 HTML,比如自动修正标签和属性。 ETree API:提供了类似于 ElementTree 的 API,但更加完善和强大。 命名空间支持:相比 ElementTree,lxml 对 XML 命名空间提供了更好的支持。
Go语言的包管理与模块化开发.md
08-31
Go语言的包管理与模块化开发,涵盖了Go包的基本概念、导入与使用、以及包的可见性等基础内容。文章接着深入探讨了Go Modules系统的引入背景、结构以及常用的依赖管理命令,解决了Go 1.11之前`GOPATH`管理模式带来的复杂性问题。通过模块系统,开发者可以更好地控制版本管理、优化依赖关系,并实现模块的多版本共存。文章还详细说明了如何进行模块化开发,包括模块划分、封装、依赖管理等,并通过具体的用户管理系统示例展示了模块化开发的实际应用。最后,文章探讨了Go Modules的高级功能,如语义版本控制、私有模块管理、模块代理与镜像等,并提出了模块化开发的最佳实践建议,如保持模块独立性、避免循环依赖、定期更新依赖、锁定版本等。这些内容为开发者提供了关于Go模块化开发的全面指导,旨在提升代码的组织效率和项目的可维护性。
Web安全入门:SQL注入、XSSCSRF防范详解
"web安全概览.pptx"是一份实用的IT培训材料,针对初学者介绍了web安全领域的关键概念和技术。课程涵盖了SQL注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和点击劫持这四种常见的web攻击手段。 1. SQL注入:这是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值