kimbs.cnkimbs.cnHomeAboutTrickleSailingTraining← Older posts《白帽子讲 Web 安全》二刷笔记April 24, 2019 bykim安全问题的本质是信任的问题。安全是一个持续的过程。一、安全世界观三要素：机密性，完整性，可用性 额外要素：可审计性，不可抵赖性 安全评估过程：资产等级划分，威胁分析，风险分析，设计安全方案。 互联网安全问题的核心，是数据安全问题。 优秀的安全方案： 有效的解决问题 用户体验好 高性能 低耦合 易于扩展升级 Secure by default 原则，最小权限，多用白名单。 白名单： 端口 软件 XSS允许标签 Flash crossdomain 允许跨域调用列表 Linux 普通用户+Sudo 纵深防御原则，从前端入口开始，层层加固。 数据和代码分离原则，对用户数据进行 过滤、编码 等手段。 不可预测性原则，让攻击者找不到规律，猜不到遍历规则，提高攻击门槛。 比如，CSRF 防御中使用的 token二、浏览器安全Web 构筑在同源策略之上。带 src 属性的标签加载资源，实际上是模拟 GET，加载资源，且被浏览器限制读写权限。Google chrome 采用多进程架构，进程间使用 SandBox 严格隔离。既提高了安全性，又使得体验提升。通过沙箱和api 对数据进行访问保护。比如 php 通过 api 调用本地文件，而不是直接访问。Google 的 SafeBrowing API 提供恶意网址库。先进浏览器支持 EVSSL 证书，即通常的绿色提示。比较有效地防钓鱼网站。X-Content-Security-Policy 及其灵活，功能完备，但是也增加了维护成本。三、XSS反射型，通过诱使用户点击含有攻击脚本的链接。 存储型，通过输入通道，把代码存储在服务器端。 Dom based 型，通过（利用）修改页面 Dom 节点形成 XSS XSS Payload：用以完成各种具体功能的恶意脚本。脚本中包含大量 JS 代码，然后通过加载远程脚本，把数据发送到远端。 通过创建隐藏 img，把 Cookie 通过 src 传递到远程，获取到用户登录凭证。 Cookie 的 HttpOnly 可以在一定程度上防止被脚本劫持。让 IP 与 Cookie 绑定，也能起到防御作用。 通过模拟 Get 或者 Post 操作用户的浏览器，在隔离环境，或用户访问不了互联网的时候，起到攻击效果。 Payload 脚本可以通过 img 模拟 Get 加载，也可以创建动态 form 模拟 Post 请求。 通过 XMLHttpRequest 也可以模拟 Post 请求发包，操作客户端。 表单提交要求验证码，可以一定程度上防止一般的 Payload，但是攻击者可以发送验证码到远程进行破解。 修改密码时要求填写旧密码，这个一般攻击者是不知道的。 通过 JS 模拟登录框，骗取用户账号密码。 根据浏览器之间不同的独有对象，能准确判断浏览器的大版本。 通过判断控件 object ，可以判断用户是否有安装该插件。 通过 classid 列表，可以扫描所有可能安装的软件、扩展、插件。 通过 Java Applet 或者其它 ActiveX 控件接口，可以获取用户内网真实IP地址和网络信息。 code.google.com/p/attackapi/bindshell.net/tools/beef/XSS Worm 利用一些未被屏蔽的标签，比如 style、background etc. 通过拆分法绕过敏感词过滤，能够复制自身攻击。 站内信、用户留言 等产生用户交互行为的页面，如果存在存储型 XSS ，则容易引发 XSS Worm JavaScript 调试工具，Firebug、Fiddler、HttpWatch 等等 利用字符编码，可以绕过某些 XSS 过滤。 利用 event 事件，可以绕过某些变量长度限制。 可以通过 location.hash 隐藏 payload，也可以绕过长度限制。 可以通过注释，注释掉中间的代码，从而绕过长度限制。 base 标签非常危险，可以通过远程伪造图片、链接，劫持当前页面中所有使用 相对路径 的标签。 window.name 可以实现数据跨域传递，减少 payload 长度。 回旋镖 攻击，可以让反射型 XSS 变得更自动化。Flash 的 ActionScript 也可以用于 XSS 攻击，且非常强大。应该禁用 embed object 等标签。视频播放应该转成 flv 等静态文件。 —– 方案： HttpOnly 解决的是 XSS 后的 Cookie 劫持问题。 输入检查，类似白名单，在前端和服务端同时做。不能用简单的 XSS Filter ，应该结合输入语境。 输出检查： 对所有 html 输出进行 htmlencode 对所有 javascript 输出进行 escapeJavascript + 双引号。 对所有 url 部分，使用 URLEncode 进行加密。 将除了字母、数字以外的所有字符，全部转换成十六进制的编码。 XMLEncode JSONEncode 禁止用户可以控制的变量，在 style标签、html标签的style属性、css文件 中输出。 对 href 要检查是否 http 开头，如果不是就添加。 要注意编码后，变量长度发生变化。 开发框架应该默认 escape 所有变量，达到 secure by default 富文本 应该禁止：事件，iframe，script，base，form 等等。 禁止：自定义 css 标签尽量使用白名单。 对 dom based xss ，要用多种过滤函数综合防御。四、CSRF 跨站点请求伪造 Cross Site Request Forgery通过 img 标签，模拟用户端 url 并执行，诱使用户自己点击 url 达到攻击目的。 禁止浏览器发送 Third-party Cookie 能够在一定程度上阻止 CSRF 服务器返回的 P3P 头，允许第三方引用跨域设置 cookie，将放行 第三方 Cookie 的发送。从而把 Cookie 的影响扩大到整个域的所有页面。 一般，在 a域 引用 b域 的页面，这个页面是无法设置 b域 的 cookie 的。 而当 b域 页面带上 P3P 头后，就可以跨域设置成功了。 P3P 头也可以直接引用 XML 策略文件。 构造一个恶意攻击页面，隐藏一个 iframe，iframe 地址指向 csrf 攻击页面。页面可以构造好 表单，并自动提交。 利用 串联 csrf 可以发起 worm 攻击。 —— 防御手段 1、验证码，简洁有效。 2、Referer Check，防 csrf 的同时，还能防盗链。 但是有时候 Referer 头被限制发送。或者浏览器不发送 Referer 。 3、Anti CSRF Token，业界公认。最好使用 物理真随机 算法。每次输出页面，都输出 Token 放置在表单中，同时设置到对应 Session/Cookie 中。Token 同