WEB安全防护相关响应头(上)

于 2019-05-27 16:59:13 发布
阅读量922 收藏 4
点赞数 1
分类专栏: WEB安全 文章标签: 天存信息 响应头 点击劫持 Response Headers iframe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44555968/article/details/90605750
版权
本文介绍了WEB安全中一些重要的响应头,如X-Frame-Options防止点击劫持,X-Content-Type-Options避免IE浏览器内容类型误判,以及HTTP Strict Transport Security (HSTS)强制HTTPS加密传输,增强用户安全。文章讨论了这些响应头的原理、应用场景和浏览器兼容性,旨在提升网站对普通用户的保护。
摘要由CSDN通过智能技术生成

WEB安全防护相关响应头(上)

WEB 安全攻防是个庞大的话题,有各种不同角度的探讨和实践。即使只讨论防护的对象,也有诸多不同的方向,包括但不限于:WEB 服务器、数据库、业务逻辑、敏感数据等等。除了这些我们惯常关注的方面,WEB 安全还有一个重要的元素——网站的使用者

他们通常是完全没有 IT 知识的普通用户,网站方可以做点什么,以增加对这些普通用户的保护呢?以前较被忽略的步骤是:正确设置页面的响应头 (Response Headers) 。这类加入安全相关响应头的做法,往往是为了保护客户端/使用者的安全,减少使用者落入黑客的 WEB 陷阱的可能。

这里我们介绍一些较为常用的,和安全相关的响应头。当然,WEB 应用应该根据自己的实际情况部署和设置,并非盲目地一股脑地全部招呼上。

一、X-Frame-Options – 打破框框

从 2008 年开始,研发人员发现一种利用视觉误导,引诱使用者行为的可能,这种做法后来被命名为点击劫持 (Click Jacking)

攻击者的通常做法是,在自己的页面里通过框架(iframe)的形式,包含一个不属于它本站的页面。下面的示例代码里包含的就是 【163 邮箱】的设置页。而由黑客控制的父级页面本身可以是任何内容,它通过精确调整自己页面的内容和 iframe 的坐标及大小,再通过 CSS 的 opacity 透明度设置,把用户内容所在的 iframe 透明度设置为全透明。

以下为示例代码:

<style>
   .iframe{
    opacity: 0.4;}
  body {
     background: url(./sales.png) no-repeat fixed top;
  }   
</style>
</head>
<body>
<iframe src="https://m.reg.163.com/?email=1/#/email" width="100%" height="600px"  frameBorder="0" class="iframe" scrolling="no"allowtransparency="true">
</iframe>

得到的效果如下图:

pic
(点击查看大图)

请注意我们为了示例效果,特意设置了透明度仅仅为 {opacity:0.4;} ,保持页面上能隐约看到 163 邮箱的内容。但如果CSS代码设置为 {opacity:0;} ,163 邮箱的内容就会消弭于眼前,只留下这张促销图片。但访问者点到相应位置时,依然会触发对163邮箱的请求。这个就是点击劫持的原理。

早期 WEB 开发者应对这个问题的处理,是用 JavaScript 实现的,一般是判断当前 window 对象和 parent 对象是否一致,如果不一致,就执行“破框”跳转。但这个方式并不可靠!因为各种原因,客户端有可能禁止了 JavaScript 执行或代码被绕过,这样“破框”代码就失效了。在人们日益认识到这种攻击方式的危害性后,为统一解决这个问题,制定互联网规范的机构出手了,解决方案就是:

RFC7034
「 HTTP Header Field X-Frame-Options 」
https://tools.ietf.org/html/rfc7034

即引入了一个新的 HTTP 响应头。现在主流常用浏览器已全部支持这一响应头。具有这个响应头的资源,可以拒绝自己被非法站点的以下标签引用:

  • iFrame 标签
  • Frame 标签
  • Object 标签
  • Applet 标签
  • Embed 标签

这个头有三种选项,对应如下:

三种选项 具体含义
X-Frame-Options: DENY 完全不能被嵌入到 iframe、frame 等标签中
X-Frame-Options: SAMEORIGIN 只能被同源页面嵌入到 iframe 或者 frame 中
X-Frame-Opti
最低0.47元/天 解锁文章
天存信息
关注
专栏目录
博客
iGuard6.0—各适其用的网站防护体系
09-26 332
​随着互联网新技术的涌现,网站的架构技术和涉及的资源也日益多样且复杂化。这对网站各类资源的防护工作也提出了更高的挑战和更细粒度的需求。我们经常碰到的用户真实需求包括:我的 CMS 制作系统,会不会发布内容有问题的网页文件?我的网站允许上传图片和附件文件,这些功能会不会被利用,导致坏人偷偷上传了木马文件?万一有恶意脚本文件假冒成图片文件传上来怎么办?除了网页文件,其他一些关键文件 (比如配置文件) 也很重要,会不会被改了?……这些问题本质上是由不同资源的特点决定的,不同的资源需要有不同的
博客
iGuard6.0 — 有序组织的网页防篡改
08-23 318
马克·吐温和理查·芒格说过:如果你身上唯一的工具是把锤子,那么你会把所有的问题都看成钉子。网页防篡改产品诞生之初就是这样一个情形:一个产品只采用一种防护手段。这些手段有的是依托于厂商掌握的先进核心技术发展而成,有的是在成熟技术基础上稍加改变而实现。无论采取哪种防护手段,厂商往往会过度强调其普适性和有效性,一招鲜吃遍天。网页防篡改产品发展到中期,大家意识到:防止网页被篡改是一个综合性和系统性的目标,并没有一个单一、直接和普适的防护手段能够达成这个目标。其根本原因在于:网页被篡改只是问题的表象,其形成的根源则
博客
iGuard和NFS文件同步的解决方案
07-27 291
一般来说,从文件系统中获得文件变化信息,调用操作系统提供的 API 即可。Windows 操作系统上有个名为 ReadDirectoryChangesW 的 API 接口,只要监视一个目录路径就可以获得包括其子目录下的所有文件变化信息,简单高效;接口的支持度也很广,现有主流的 Windows 操作系统都支持,往前还可以追溯到 Windows 2000。对码农来说,能提供稳定有效且好用的 API 的系统就是好系统。而本文将讨论 iGuard 网页防篡改系统在 Linux 上获取文件变化信息的方法及从 NFS
博客
网页防篡改系统与网站安全
07-15 1800
随着网络安全攻防实战演习常态化,企事业单位的网络安全规划标准、建设水平和管理能力均得到大幅提升,反过来也促进了网络安全产品的更新迭代。很多历史悠久的网络安全产品都面临着应用场景发生重大变化所带来的挑战,网页防篡改系统也不例外。传统的网站安全防护体系中,网页防篡改系统的防护目标是保护网页不被篡改。狭义的网页篡改,是指存在于 Web 服务器上的网页文件被攻击者修改。在过去,由于 Web 应用系统发布、运维环节不规范,运维/开发人员安全意识薄弱,攻击者可以利用各种 Web 服务器文件系统权限管控上的缺陷直接篡改
博客
类编程的WAF(下)
05-26 226
类编程的WAF(下)一、编程语言的要素1. 变量2. 条件判断3. 表达式4. 语句二、数据方式的语言表达1. JSON格式2. 规则结构3. 自动循环4. 动态修改三、针对HTTP协议的定制1. 数据类型2. 持久变量3. 状态维护四、有什么用一、编程语言的要素天存信息的iWall3应用防火墙是一种创新式的类编程 WAF,它包含了编程语言的一些基本要素。1. 变量iWall3 中广义的变...
博客
类编程的WAF(上)
05-25 252
类编程的WAF一、复杂的需求二、规则的局限性三、大家一起来编程?四、类编程的WAF一、复杂的需求WAF (WEB 应用防火墙) 用来保护 WEB 应用免受来自应用层的攻击。作为防护对象的 WEB 应用,其功能和运行环境往往是复杂且千差万别的,这导致即便防御某个特定的攻击方式时,用户需求也可能是细致而多样的。以最基本的 SQL 注入 (以下简称注入) 为例。注入攻击当然是要防范的,但用户可能还...
博客
注意!保护我方密码阵地!
05-10 216
​开篇先分享一个故(shì)事(gù)引入本期话题:某公司请第三方安全机构做渗透测试,安全机构的大神们各显神通后发现客户公司的信息安全防护还是非常到位的,一时半刻难以得手。于是乎测试团队另辟蹊径,提出“钓鱼”方案,搭建了一个从访问地址到内容都能够以假乱真的客户公司的管理平台,并向所有管理者发送邮件称管理平台“临时维护”,维护期间,如需使用管理平台请从“钓鱼岛”登录。自古套路得人心,就这样,测试团队顺利拿到管理员的账号和密码,圆满完成渗透任务。在日常生活中,各种各样的密码安全问题,层出不穷,由此引发的各种
博客
网站遭遇CC攻击怎么破?
03-01 1007
最近,有朋友反映自家网站访问速度明显慢了许多,用 top 命令查看发现 CPU 快被占满了,HTTP 连接数不断攀升,愈演愈烈。了解后得知,这已经不是网站第一次遭受 CC 攻击了,之前试过使用 Apache 做反向代理配置,可是 Apache 也没扛住。一、何为CC攻击那么,什么是 CC 攻击呢?这里用一个段子做引,顾客点了份鱼香肉丝没有肉丝,找店家理论,店家矢口否认,于是第二天顾客找了 N 多闲杂人等把小饭馆全部坐满,还不消费,正常顾客无法消费就餐,店主损失巨大。这,就是店家不懂 CC 攻击.
博客
进击的反爬机制
01-29 437
一、概念爬虫一般是指,通过一定的规则策略,自动抓取、下载互联网上网页内容,在按照某些规则算法对这些网页进行数据抽取,形成所需要的数据集。当然,有了数据之后,就有可能进行一些非法活动。反爬虫一般是指,网站管理员使用一定的技术手段,防止爬虫程序对网站的网页内容,进行爬取,阻止爬虫爬取网页内容获取数据后,进行一些非法活动。反爬方与爬虫方不断的进行博弈,给爬虫方不断制造爬取难度或者一定程度的阻止了爬虫方的网页爬取。而爬虫方也在不断更新技术,来对抗反爬方设置的种种防护措施。二、对抗过程最开始的时候,反爬方的
博客
披着羊皮的Neo-reGeorg
12-24 1523
混迹 Web 安全行业许久,查杀网站后门已是家常便饭。时间久了,养“马”场也见的多了,Neo-reGeorg 算得上是同类中战斗力超群的“野马”了,也深受黑客和安全渗透人员的喜爱。Neo-reGeorg 能够简化攻击流程。通常,拿下 Web 服务器并进一步横向渗透时,在 Web 服务器上安装必要辅助工具的过程往往不会很顺利。而 Neo-reGeorg 可以让问题变得轻松很多,只需在本地安装好扫描工具,通过 Neo-reGeorg 把流量透传到 Web 服务器内部就可以了。1. 工具介绍Neo-reGeo
博客
2020 网络安全重保日记
11-27 7781
2020 年双节前夕,国内疫情稳定,长假将启,各项安保措施比以往有所升级,而此时更是网络安全重点保障时期,信息安全工作尤其不能懈怠。各用户单位也陆续启动响应,对网络安全负责人、联络人通知到位,深度排查网络安全风险,及时调整网络安全策略,部署实施态势感知、应急响应、持续安全评估、安全监测巡检等安全措施,并确保安全人员现场保障。安保工作如火如荼,天存信息的技术工程人员也相继奔赴各个信息重保工作现场。一、安全措施与前期建设1.1 个人心理建设轮流值守在三个重点客户的工作现场期间,我需要时刻紧盯日志审计平台,
博客
WEB安全新玩法 [11] 防范批量注册
11-06 2100
网站的攻击者通过批量注册用户,能够实施大规模非法操作,如抢优惠券、恶意刷单等。这给服务商造成了直接的经济损失,而大量的垃圾用户也会占用系统资源,增加系统运行压力。防范批量注册需要针对系统特点,多管齐下综合应对,iFlow 业务安全加固平台可以提供各种防范批量注册的技术实现方式。以某电商网站为例,其用户注册功能存在被攻击者利用的可能。在此将模拟攻击者批量注册的行为,并利用 iFlow 使用多种手段来防范攻击。攻击示例攻击者编写 RegistTest.py 脚本进行攻击,脚本使用 WebDriver
博客
WEB安全新玩法 [10] 防范竞争条件支付漏洞
10-30 2850
服务器端业务逻辑,特别是涉及数据库读写时,存在着关键步骤的时序问题,如果设计或代码编写不当就可能存在竞争条件漏洞。攻击者可以利用多线程并发技术,在数据库的余额字段更新之前,同时发起多次兑换积分或购买商品请求,从中获取利益。本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。一、原始网站这是一个在支付环节存在竞争条件漏洞的站点:用户输入一个支付数值,系统将这个数值与余额比较,如果支付数值小于余额则允许支付,并从余额中减去支付数值。攻击者编写并执行了
博客
WEB安全新玩法 [9] 重置密码之验证流程防绕过
10-23 767
一般来说,业务流程中出现多个操作环节时,是需要顺序完成的。程序设计者往往按照正常用户的操作顺序实现功能,而忽略了攻击者能够绕过中途环节,直接在后续环节上进行非法操作。iFlow 业务安全加固平台能够在不修改网站程序的情况下,强制流程的顺序执行。某网站系统在用户重置密码时,需进行算术题人机识别验证,再进入邮箱验证码验证环节,通过后才能真正地重置密码。由于程序设计不当,攻击者可以输入任意受害者账号,并正常完成算术题验证后,直接绕过邮箱验证码验证过程,进入到重置受害者密码的环节。我们接下来会看到如何利用 iF
博客
WEB安全新玩法 [8] 阻止订单重复提交
10-19 851
交易订单的重复提交虽然通常不会直接影响现金流和商品流,但依然会给网站运营方带来损害,如消耗系统资源、影响正常用户订单生成、制造恶意用户发起纠纷的机会等。倘若订单对象是虚拟商品,也有可能造成实际损失。订单重复提交的检查工作本应该由网站自身实现,而 iFlow 业务安全加固平台则可以为未实现这项功能的网站提供防护。以某开源购物网站为例,攻击者能够轻松实现订单的重复提交。我们看看如何在不修改网站源代码的前提下,使用 iFlow 通过透明加入一次性令牌来阻止订单的重复提交攻击。一、不检查订单重复提交的原始
博客
WEB安全新玩法 [7] 加密不安全下载路径
10-16 354
提供下载功能的网站,其下载资源的链接是任何用户都能获取的。如若设计不当,攻击者通过分析链接的文本,能够构造出意外但有效的链接,访问网站功能之外的资源,从而窃取主机上的敏感信息。以下就是这样一个例子:网站将下载资源的文件路径作为参数传入,但没有对这个参数进行检查,于是攻击者可以构造多级父路径来尝试获取操作系统的配置文件。使用 iFlow业务安全加固平台能够加密 URL 中的关键部分,使得攻击者的这种构造行为无从进行。一、原始网站1.1 正常用户访问用户点击进入下载页面,点击选择其中一名球星,网
博客
WEB安全新玩法 [6] 防范图形验证码重复使用
10-13 608
在完成关键业务操作时,要求用户输入图形验证码是防范自动化攻击的一种措施。为安全起见,即使针对同一用户,在重新输入信息时也应该更新图形验证码。iFlow 业务安全加固平台可以加强这方面的处理。某网站系统在登录时要求用户输入图形验证码。如果账号信息错误并得到系统提示后,用户重新输入账号信息时,仍可使用原来的图形验证码。我们看看如何利用 iFlow 使得图形验证码每次都得到更新。一、原始网站1.1 正常用户访问用户在登录时输入了正确的图形验证码字符,如果提交的账号信息有误,系统提示登录错误。...
博客
WEB安全新玩法 [5] 防范水平越权之查看他人订单信息
09-29 735
水平越权是指系统中的用户在未经授权的情况下,查看到另一个同级别用户所拥有的资源。水平越权会导致信息泄露,其产生原因是软件业务设计或编码上的缺陷。iFlow 业务安全加固平台可以缓解部分场景下的水平越权问题。以某电商网站为例,其查看订单功能存在漏洞:仅依靠修改 URL 参数,任意登录用户不仅可以查看自己的订单信息,也可以查看到其他用户的订单信息。我们看看在网站自身存在缺陷的情况下,如何利用 iFlow 阻止水平越权的订单信息访问。一、原始网站1.1 正常用户访问正常用户登录成功之后,进入个人中心的订
博客
WEB安全新玩法 [4] 防护邮箱密码重置漏洞
09-27 540
大部分具有账号系统的应用都会提供重置用户登录密码的功能,常见方式之一是:用户输入自己的邮箱地址或手机号,应用向这个邮箱或手机号发送验证码,用户将收到的验证码输入应用中即可完成密码重置。这一过程容易因设计不周全而被攻击者加以利用。iFlow 业务安全加固平台可以为设计不当的应用打上动态虚拟补丁,使之防御可能的恶意利用。以某网站为例,其邮箱密码重置功能就存在缺陷:获取验证码的邮箱和重置密码的邮箱可以不一致。攻击者能够给任意邮箱所代表的用户设置新的登录密码,从而冒充受害者登录。当然,我们也会介绍如何在不修改网
博客
WEB安全新玩法 [3] 防护交易数据篡改
09-25 541
防护交易数据篡改一、依赖前端数据的原始网站1.1 正常用户访问1.2 攻击者访问二、iFlow虚拟补丁后的网站2.1 正常用户访问2.2 攻击者访问2.3 代码三、总结在任何涉及交易的系统中,客户与商家之间的交易数据具有核心作用,如购买商品的价格、数量、型号和优惠券等。在客户挑选商品的过程中,这些交易数据逐渐形成;待客户提交订单时,交易数据被商家接收,形成双方认可的订单。交易数据在形成过程中必须要有可靠的临时存储,而不可靠的存储会允许攻击者提交伪造的交易数据,使商家利益受损。iFlow 业务安全加固平台
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值