白帽子讲Web安全学习之浏览器

最新推荐文章于 2024-03-14 15:49:53 发布
最新推荐文章于 2024-03-14 15:49:53 发布
阅读量3.9k 收藏
点赞数 1
分类专栏: 白帽子讲Web安全学习笔记 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44874027/article/details/123848263
版权

目录

​​​​​1.同源策略

2.浏览器沙箱

3. 恶意网址拦截

​​​​​1.同源策略

        同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响。浏览器的同源策略限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。如果不存在同源策略的情况下,可能a.com的一段js脚本即使没有在b.com加载时也可以对b.com的页面进行随意修改,所以为了防止此情况的发生,浏览器提出了“Origin”的概念,来自不同的Origin对象无法相互干扰。

        对JS来说,以下情况被认为是同源或不同源的

URLOutcomeReason
http://store.company.com/dir2/other.htmlsuccess
http://store.company.com/dir/inner/another.htmlsuccess
https://store.company.com/secure.htmlFaliuredifferent protocol
http://store.company.com:81/dir/etc.htmlFaliuredifferent port
http://news.company.com/dir/other.htmlFaliuredifferent host

        由表可以看出,对JS来说不同的协议,端口,域名都会被看作是来自不同的源。对于浏览器来说,除了DOM,Cookie,XMLHttpRequest会受到同源策略的限制外,浏览器加载的一些第三方插件也有各自的同源策略,常见的有 Flash,Java,Applet,Silverlight,Google Gears等。

2.浏览器沙箱

        浏览器沙箱也被指为“资源隔离类模块”,浏览器沙箱设计目的是为了让不可信任的代码运行在一定的环境中,限制不可信任的代码访问隔离区以外的资源。如果一定要跨越沙箱产生数据交换,则智能通过指定的数据通道,比如经过封装的API来完成,在这些API中会严格检查请求的合法性。沙箱机制可以让不受信任的网页代码,JS代码运行在一个受限制的环境中,从而保护本地环境的安全。

3. 恶意网址拦截

        恶意网址拦截功能都是基于黑名单的功能来实现的,一般都是浏览器周期性的从服务端获取一份最新的恶意网址黑名单,如果用户上网时访问的网址存在于此黑名单中,浏览器就会弹出一个警告页面。常见的恶意网址分为两类 :一类是挂马网站,这些网站通常包含有恶意脚本如JS或Flash,通过利用浏览器的漏洞(包括一些插件,控件漏洞)来执行shellcode,在用户电脑中植入木马病毒;另一类则是钓鱼网站,通过模仿知名网站的相似页面来欺骗用户。

        除了恶意网址拦截以外,主流的浏览器还支持EV SSL证书以增强对安全网站的识别。EV SSL证书是全球数字证书颁发机构于浏览器厂商一起打造的增强型证书,其主要特色是浏览器会给予EVSSL证书特殊待遇。EVSSL证书也遵循X509标准,并向前兼容普通证书,如果浏览器不支持EV模式则会将其当作普通证书,若支持则会在地址栏特别标注

Know_nono
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
白帽子Web安全(一)浏览器安全
weixin_39157582的博客
08-23 826
白帽子Web安全(一)浏览器安全1、同源策略(1)什么是同源策略(2)同源策略的应用(3)跨域访问2、浏览器沙箱(1)背景(2)原理(3)实现(4)注意 1、同源策略 (1)什么是同源策略 同源策略/SOP 是由NetScape公司提出的一个著名的安全策略。所谓同源是指 “ 协议+域名+端口 ” 三者相同,即便两个不同的域名指向同一个ip地址,也非同源。浏览器出于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的资源。 现在所有支持javascript的浏
白帽子web安全 完整版
03-12
白帽子Web安全》是一本深入探讨网络安全领域中Web应用安全的专业书籍,全面覆盖了Web安全的基础理论、常见威胁...通过对《白帽子Web安全》的学习,我们可以提高对Web应用安全的认识,更好地保护网络世界的安全
白帽子Web安全
云计算?
04-09 253
白帽子Web安全 吴翰清著 ISBN978-7-121-16072-1 2012年3月出版 定价:69.00元 16开 448页 宣传语:安全是互联网公司的生命,也是每一位网民的最基本需求。一位天天听到炮声的白帽子和你分享如何呵护生命,满足最基本需求。这是一本能闻到硝烟味道的书 内 容 简 介 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷...
浏览器崩溃_白帽子浏览器安全 PDF 下载_Java知识分享网
weixin_39965673的博客
11-14 139
相关截图:资料简介:浏览器是重要的互联网入口,一旦受到漏洞攻击,将直接影响到用户的信息安全。作为攻击者有哪些攻击思路,作为用户有哪些应对手段?在本书中我们将给出解答,带你了解浏览器安全的方方面面。本书兼顾攻击者、研究者和使用者三个场景,对大部分攻击都提供了分析思路和防御方案。本书从攻击者常用技巧的“表象”深入介绍浏览器的具体实现方式,让你在知其然的情况下也知其所以然。资料目录:目录第1篇 初探浏览...
白帽子web安全浏览器安全
hhh
02-27 8170
白帽子web安全浏览器安全 (一些内容属于个人理解,如有错误请不吝指正) 同源策略 概念 所谓同源,一般是指域名、协议、端口相同。一般来说,只有同源的页面可以互相读取彼此的数据,或者改变彼此在浏览器中的显示。 怎样算是同源? 借用书上的一个例子: 网页a.com通过一下代码加载b.com上的js文件: > \<script src = http://b.com/b.js &gt...
读书笔记2:浏览器沙盒(白帽子浏览器安全)
m0_37622973的博客
09-23 252
0.基础知识 SID:当某个进程要访问某个对象的时候,只有它拥有合适的权限才能进行下一步操作,windows用SID来标识系统中执行动作的实体。是标识用户、组和计算机帐户的唯一的号码 1.是什么沙盒? 浏览器通过沙盒将代码限制在一个权限很低的范围内运行,只要攻击者不超过沙盒的限制,攻击者即使拿到了被保护进程的任意代码执行权限,也将无法执行任何程序或读取任何系统配置 2.由哪些策略构成? 受限令牌+...
白帽子浏览器安全.钱文祥(带详细书签).pdf
03-08
1.6 “白帽子”与浏览器厂商的联手协作 9 1.7 全书概览 10 1.8 本章小结 12 2 浏览器中常见的安全概念 13 2.1 URL 13 2.1.1 URL的标准形式 15 2.1.2 IRI 16 2.1.3 URL的“可视化”问题——字形欺骗钓鱼攻击 ...
白帽子Web安全》.pdf
02-03
但是根据标题《白帽子Web安全》和描述,可以推断出该文档主要是关于Web安全的深入分析和实际解决方案的介绍。 知识点如下: 1. Web安全基础:Web安全是信息安全领域的一个重要分支,涉及到互联网上的数据保护和...
白帽子学习笔记——浏览器安全
gam0n的博客
09-02 315
同源策略: 影响源的因素有host(域名或IP地址,如果是IP地址则看作一个根域名)、子域名、端口、协议; 在浏览器中,<script>,<img>,<iframe>,<link>等标签都是可以跨域加载资源,不受同源策略影响, 这些带"src"属性的标签每次加载时,实际上是有浏览器发起一次GET请求; XMLHttpRequest通过src属...
白帽子Web安全】第二章 浏览器安全
xtcc的博客
07-21 1366
2.这一策略极其重要,如果没有同源策略,可能a.com的一段JavaScript脚本,在b.com未曾加载此脚本时,也可以随意修改b.com的页面(在浏览器显示中)。1.目前各个浏览器的拦截恶意网址的功能是基于“黑名单”的,一般是浏览器周期性地从服务器获取一份最新的恶意网址和名单,如果用户上网时访问的网址存在于此黑名单中,浏览器就会弹出一个警告页面。需要注意的是,对于当前页面来说,页面内存放JavaScript文件的域并不重要,重要的是加载JavaScript的页面所在的域是什么。......
白帽子web安全》第2章 浏览器安全
询昵的博客
05-27 228
一、同源策略 同源策略(Same Origin Policy):限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。来自不同源(Origin)的对象无法相互干扰。 影响源的因素有:host(域名或IP地址,如果是IP地址则看作一个根域名)、子域名、端口、协议。 例外标签:<script>、<img>、<iframe>、<link>等标签不受同源策略的限制,因为实际上是由浏览器发起了一次GET请求。但是不同于XM..
白帽子Web安全--第二章 浏览器安全
encrypted_999的博客
12-12 211
白帽子Web安全第二章
白帽子WEB安全——第二章(浏览器安全
Mr__Buger的博客
07-11 228
大致看了一下浏览器安全的第一章的介绍,发现掌握相关的语言还是很有必要的,如果对WEB相关的语言并不熟悉,那就很难能够认清该漏洞的实质。主要理解一下同源策略,以及在该书出版时所存在的一些安全问题,如恶意域名检测等。另外,插件(自己在用Chrome的时候用的特别多),插件远不同于通常的WEB代码(功能),插件的出现让浏览器变成了能够实现更多、更方便的功能的集合工具(像是手机装了很多APPs)...
白帽子web安全浏览器安全(二)同源策略
Kind&红衣的博客
08-12 326
(一)同源策略: 源(Origin) 浏览器最核心最基础的安全功能,web建立在同源策略之上。 作用:限制了不同Origin之间的document和脚本,相互间不能干扰。 影响Origin的因素有host(域名或IP地址) 下方例子在a.com中加载了b.com的b.js,那么它的Origin就是a.com。 &lt;script src = https://b.com/b.js&g...
白帽子Web安全学习笔记
qq_53058639的博客
03-18 389
最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了)。我们花了很多时间做Web安全扫描以及修复,在检查和修复过程中,发现老系统的代码的不可维护性(再次说明整洁代码之道Clean Code的重要性)及安全性(同时也说明了Web安全的重要性)。修复之后,向Google提出了申诉,漫长的等待(1~2天对于公司的官网来说就是Money啊!)后Google放开了。
读书笔记--《白帽子安全
weixin_30249203的博客
07-13 196
白帽子安全读书笔记: 阅读情况:全部看完 来源:kindle电子书 小结:书籍比较早,有些例子可能过时了,但是还是很适合我这种小白看可以系统的了解一下安全方面 属于科普书,里面罗列了常见的安全问题。 个人书籍摘要备忘: 1./浏览器安全/(1)同源策略:js跨域(2)沙箱:独立的tab页(3)恶意网址拦截:挂马网址黑名单 2./xss/跨站脚本攻击(1)反射型 向页面注射&...
白帽子web安全》第二三章学习(HTTP,Web应用、浏览器安全
最新发布
2301_80951345的博客
03-14 2182
HTTP协议是一种Client-Server协议,所以只能由客户端单向发起请求,服务端再响应请求。这里的客户端也叫用户代理(User Agent),在大多数场景下是一个浏览器
浏览器的沙盒技术
fly_enum的博客
03-21 1197
但是,如果沙盒浏览器被禁用,恶意程序就可以利用网络浏览器的漏洞并破坏用户的本地系统和资源。市场上有 Sandboxie、BitBox 和其他沙盒工具,当企业受到高级持续性威胁 (APT) 的攻击,可以沙盒技术进行攻击的防御,可以为未知的攻击做好准备。沙盒浏览器创建了一个隔离环境,用户可以从第三方来源下载和安装应用程序,并在安全、隔离的环境中运行它们,即使他们的行为可疑。视觉流的工作方式类似于 VDI(虚拟桌面基础设施)系统,其中浏览器在基于云的服务器上运行,视觉输出显示在用户的本地计算机上。
网易WEB白帽子 -WEB安全工具
平凡的脚步也可以走完伟大的行程
03-03 1545
网易WEB白帽子 03 WEB安全工具 1. 浏览器 内容设置 允许弹窗 可运行Javascript脚本 内容设置 www.hackthissite.org 插件 HackBar Advanced Cookie Manager Proxy Switcher 网络代理 2. 代理抓包工具 HTTP代理抓包工具(*Burpsuite) 代理端口设置 3. 敏感文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值