《web应用安全》被动攻击与同源策略

被动攻击与同源策略

浏览器针对被动攻击的防御策略--沙盒（沙盒的核心概念为同源策略）

主动攻击

指攻击者直接攻击web服务器，如SQL注入

被动攻击

单纯的被动攻击攻击者针对网站的用户设下陷阱，利用掉入陷阱的用户来攻击应用程序

恶意利用网站进行的被动攻击

利用正规网站进行的被动攻击，入侵正规网站，往其内容中嵌入恶意代码，
用户在浏览了含有恶意代码的内容后，就会感染病毒。

在正规网站中设置陷阱的手法通常有：

1. 非法获取FTP等服务器的密码后篡改网站内容。
2. 通过攻击web服务器的安全隐患来篡改网站内容。
3. 通过SQL注入攻击来篡改网站内容。
4. 通过用户能够自己发布内容的网站，利用跨站脚本漏洞实施攻击。

跨站的被动攻击

具体流程：

1. 用户浏览恶意网站
2. 从恶意网站下载含有恶意代码的HTML。
3. HTML中的恶意代码被触发，从而向正规网站发送攻击请求(CSRF)
4. 正规网站返回含有javascript的响应内容（XSS,HTTP消息头注入攻击)

浏览器如何防御被动攻击

网站方面的对策的前提是，浏览器不存在安全问题

沙盒

是JavaScript，JavaApplet，Adobe Flash Player经常用的一种思路
在沙盒里面程序权限受到制约即使编写恶意程序也无法对用户造成伤害。

为了防止恶意程序在用户浏览器上执行，javascript等语言提供了一些安全性的机能，基本思想：

1. 只有在用户确认了程序的发行方并且允许运行的情况才，程序才能被运行。(经常被用于ActiveX或者带有签名的Applet，现在这种方式主要用于为浏览器提供插件功能）
2. 提供限制程序权限的沙盒环境。
   通常情况下沙盒限制了以下功能

• 禁止访问本地文件
• 禁止使用打印机等资源（可以显示页面）
• 限制网络访问（同源策略）

同源策略

同源策略是禁止javascript进行跨站访问的安全策略

javaScript访问iframe标签内容

如果主机相同，在iframe的外部就可以通过javascript取得iframe内部HTML内容，但是其它主机上的JavaScript却无法访问其内容，这是因为同源策略访问遭到了绝。

同源的条件

• URL的主机（DQDN全程域名)一致
• Scheme(协议)一致
• 端口号一致

实现Ajax时所用的XMLHttpRequest对象能够访问的url也受到了同源策略的限制。

JavaScript以外的跨域访问

frame元素与iframe元素

iframe元素与frame元素能够进行跨域访问通过
但是JavaScript却不能跨域访问iframe中的文档内容。

X-FRAME-OPTHONS是微软公司提供的一种限制frame和iframe访问权限的方案，被定义在响应头信息中，值为DENY(拒绝)或SAMEORIGIN(仅限同源），可以用来防范点击劫持
用法：header(‘X-FRAME-OPTHONS:SAMEORIGIN’)；

img元素

img元素的src属性能够指定其它域名，此时请求图像时会附带图像所在主机的cokie
所以就能够让恶意网站上的图像显示为，“此图像需要认证”。

如果不想让自己的图像被贴到恶意某些特定网站，则可针对图像检验Rederer消息头。

script元素

通过向指定script元素的src属性就能够从其它网站来读取javascript。

这种情况也有可能伴随着JSONP而出现，JSONP是从Ajax应用来访问不同来源的服务器中数据时采取的一种方式，但是根据认证状态的不同，javascript的代码会发送变化，从而就可能导致意想不到的信息泄露事故。

css

css能够被跨域读取，除了Html的link元素之外，也能在css中使用@import
或者使用javascript的addImport方法

from元素的action属性

from元素的action属性也能跨域指定，而且无论action的目标是否跨域
from的提交都能通过javascript来操作，让用户在不知情的情况下提交
内容，从而肆意使用应用中的功能。