白帽子讲web安全
又是厚厚的一本书,为了不弄虚做假,只得变更计划,这一次调整为读前三章,安全世界观,浏览器安全和xss。其它待用到时再专门深入学习。
吴翰清是本书作者,icon是一个刺字,圈内人称道哥。曾供职于阿里,后创业,最后回归阿里。更多可以参考这里:
http://www.renrenzhuan.net/thread-5133-1.html
安全世界观
所有术的层面最后都回归到道的层面,所以开篇的章节,作者从道讲起。
这一部分需要思考的的第一个问题是:我们为什么要研究web安全?
区块链安全需要我们关注吗,为什么?
第二个问题:白帽子的工作和黑帽子有何不同?我们要像黑帽子学习什么?
第三个问题:安全的本质是什么?
第四个问题:有没有一劳永逸的安全方案?
第五个问题:请谈一谈你对安全三要素的理解。
第六个问题:请谈一谈安全评估做什么?怎么做?
第七个问题:白帽子在设计安全方案时,有哪些原则可以参考?它们分别应对或解决哪一方面的问题。
每一个问题都够写一篇小论文了。
浏览器安全
同源策略
同源策略限制来自不同源的document或脚本对当前document或脚本进行修改。
影响源的因素有协议、端口、域名。
script、img、iframe标签却可以跨域加载资源,实际上它们由浏览器发起了一次get请求,JavaScript不同于XMLhttprequest,不能读写返回的内容。
除了DOM,cookie,xmlhttprequest受同源策略限制,一些浏览器加载的第三方插件也有各自的同源策略。
浏览器沙箱
浏览器沙箱主要是通过资源隔离,使得对浏览器所在的本机进行保护。但是现实中,也有人通过浏览器插件漏洞来绕过。
恶意网址拦截
浏览器厂商和安全厂商合作,对恶意网址给用户提醒。phishtank是一个免费提供恶意网址的机构,ev ssl是一种安全增强型证书。
浏览器新技术需要考虑的安全
用户友好的功能需要关注,例如\和?的处理。扩展和插件的安全。
XSS跨站脚本攻击
XSS概念和分类
前两章基本是道的层面,这一章就开始关注术的层面。XSS英文是Cross Site Script,所谓的XSS攻击是指黑客通过html注入,篡改了网页,插入了恶意脚本,从而在用户浏览时控制用户浏览器的一种攻击。
<script>alert(CSS)</script>只是我们验证是否有xss的一种办法,真正的payload会实现更多邪恶的功能。
xss传统上分为反射型和存储型,DOM型,DOM其实也是一种反射型。
XSS payload
这一节先介绍了cookie劫持,然后列举了通过构造get和post请求结合XSS来获取qq邮箱邮件列表,XSS钓鱼,识别用户浏览器,识别用户软件,识别用户曾经访问过的网站,获取用户真实IP等场景。
XSS攻击平台
常见的平台有Attack Api,BeEF,XSS-Proxy。还有书中没提到的,余弦的XSS'OR。工具平台可以为我们演示XSS危害提供帮助。
XSS蠕虫
书中提到了MySpace曾经的Samy蠕虫。真正可怕的蠕虫会悄无声息的窃取用户秘密。
XSS构造技巧
常见技巧有利用编码规则、突破长度限制、利用base标签、window.name。此外,不要忽视flash、一些貌似只能攻击自己的XSS、JS框架安全问题。
XSS防御
通过HttpOnly属性
输入检查
输出检查
正确防御思路
处理富文本
防御DOM based XSS
业务视角看XSS
实验环境
1、一个浏览器
能够调试Javascript的浏览器都应该可以。
2、Javascript调试工具
书中提到的有Firebug,Fiddler,IE8开发者工具。
3、JavaScript调试环境
http://lixiaolai.com/2016/07/31/makecs-simplest-js-dev-environment/
其它资源
在线java调试工具
BeeF
http://www.freebuf.com/sectool/4799.html
Attackapi框架
http://www.cnblogs.com/milantgh/p/3645166.html
XSS cheatsheet
sec-wiki查找XSS