本文地址：//www.greatytc.com/p/ebb1db302ef5

第九章 Web蠕虫

主要分三类：XSS蠕虫、CSRF蠕虫、Clickjacking蠕虫，还有第四类 文本蠕虫

Web 蠕虫思想

• 用户参与后被动或主动的传播威胁

XSS 蠕虫

• 性质：传播性和病毒性
• 具备以下条件
  • 内容有用户驱动
  • 存在XSS漏洞
  • 被感染用户是登陆状态
  • XSS蠕虫利用的关键功能本身具有内容的传播性

CSRF 蠕虫

与XSS蠕虫基本类似，只不过用的是CSRF，攻击代码放在攻击者页面中，目标网站都包含攻击者的URL

• 使用服务器端进行跨域优点是：蠕虫代码、逻辑可以很好的隐藏，缺点是在服务器端发起的GET和POST请求无法带上攻击站点的本地Cookie或内存Cookie。CSRF蠕虫只能通过Referer里的唯一值来进行下一步攻击

ClickJacking 蠕虫 ,界面劫持

发动ClickJacking蠕虫攻击，必须满足以下两个条件

• 在SNS社区中，找到一个可以直接发动HTTP的GET方式提交数据的页面
• 这个页面可以被iframe标签包含

第十章 关于防御

三个方面防御

• 浏览器厂商的防御，围绕Web厂商能参与的策略进行
• Web厂商的防御
• 用户的防御

浏览器厂商的防御

HTTP响应的X-头部

• X-Frame-Options

用于防御ClickJacking，有两个值：

• DENY（禁止被加载任何frame）;

• SAMEORIGIN（仅允许被加载进同域内的frame）

• X-XSS-Protection

有三个值：

• 0（表示禁用这个策略）；

• 1（默认，对危险脚本做一些标记和修改，以阻止在浏览器上的熏染执行）；

• 1;mode=block（强制不熏染，在Chrome下直接跳转到空白页，IE下返回一个#符号）

• X-Content-Security-Policy（即CSP策略，将成为主流）

比如现在的问题，IE下CSS的expression可以执行js，html中的script标签，标签中on事件、标签style属性、标签src/href/action等属性都可以执行js，没有分离，导致很多安全问题，CSP就是解决这些问题

Chrome支持CSP策略的头部是X-WebKit-CSP，而非标准的X-Content-Security-Policy，不过具体策略都一样

CSP语法格式如下：

X-Content-Security-Policy:[指令1] [指令值1] [指令值2];[指令2] [指令值1] [指令值2];....

具体指令参考书本 P339，

主要有指令有：default-src、script-src、object-src、img-src、media-src、frame-src、font-src、connect-src、style-src、report-uri

指令值有：

(1)、*表示允许所有的来源
(2)、*.foo.com表示来源foo.com的所有子域内容
(3)、https://foo.com表示来源https协议下的foo.com

以下特殊指令值，单引号必须有

(1)、'none'表示空集，即外部资源不被加载
(2)、'self'表示仅同域内的资源可加载
(3)、'unsafe-inline'表示允许内嵌JS/CSS，如<script>内的、javascript:内的、on事件内的、<style>内的等，默认不被允许
(4)、'unsafe-eval'表示允许eval、setTimeout、setInterval、Function等可以直接执行字符串的函数
(5)、data指令，允许data:协议

示例一：不允许任何外部资源加载，仅允许内嵌脚本执行

// 响应头如下
X-Content-Security-Policy: default-src 'unsafe-inline' 'self'

示例二：仅允许白名单外部资源加载，不允许内部脚本执行

// 响应头如下
X-Content-Security-Policy: default-src *.foo.com

Web厂商的防御

域分离

将业务放在不同的域下，子域不要设置document.domain相同根域

安全传输，通过HTTPS

安全的Cookie，身份认证相关的cookie严格设置https，并且为HttpOnly标记

优秀的验证码

慎防第三方内容

XSS防御方案

以下地方需要注意，具体参考书本P345

• 进入HTML标签之间时
• 进入HTML普通属性值时
• 进入JAVASCRIPT中时
• 进入CSS时
• 进入URL时

CSRF防御方案

• 检查HTTP Referer字段是否为同域
• 限制Session Cookie生命周期
• 使用验证码
• 使用一次性token

界面操作劫持防御

• X-Frame-Options防御，通过http响应头来控制，更安全
• Frame-Busting脚本防御

即通过js的方式防止页面被iframe嵌入

方法一（比较容易攻破）：

if(top.location!=self.location){
  top.location = self.location;
}

方法二（更安全）：

<style>
  html{display:none;}
</style>
<script>
  if(self==top){
    document.documentElement.style.display = 'block';
  } else {
    top.location = self.location;
  }
</script>

• 使用token进行防御

用户的防御

附原书购买地址： http://item.jd.com/11181832.html