20199315 2019-2020-2 《网络攻防实践》第12周作业

20199315 2019-2020-2 《网络攻防实践》第12周作业

前言

这个作业属于哪个课程：https://edu.cnblogs.com/campus/besti/19attackdefense

这个作业的要求在哪里：https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10756

我在这个课程的目标是：学习网络攻防相关知识，提升专业技能

这个作业在哪个具体方面帮助我实现目标：学习了解浏览器安全攻防

知识点梳理与总结————《网络攻防技术与实践》教材第十二章（P469）

Web浏览器的技术发展与安全威胁

现代Web浏览器指的是能够符合“现行标准”，并被互联网用户所接受使用的Web浏览器软件。

目前的现代Web浏览器要求能够理解和支持HTML和XHTML、CascadingStyleSheets (CSS)、ECMAScript及W3C Document Object Model (DOM)等一系列标准

需要支持各种应用层协议的Stream流接收与解析，并维护DOM对象模型结构，通过支持EMCAScript标准构建JavaScript. FlashActionScript等客户端脚本语言的执行环境，以及支持CSS标准控制页面的布局，最终在浏览器终端中将服务器端的各种流媒体对象、应用程序、客户端脚本执行效果进行渲染，展现给终端用户。

现代Web浏览器软件除了在内核引擎中实现符合各种标准的基本功能和特性之外，普遍地采用各种扩展机制允许第三方开发一些插件，以提升浏览器软件功能的丰富性。

微软IE浏览器基于Trident内核引擎(也被称为MSHTML)，1996年即采用了ActiveX技术来支持第三方开发扩展插件，并沿用至今

MozillaFirefox的内核引擎为Gecko,通过XUL平台支持扩展插件开发

Google Chrome和苹果的Safari都基于开源的Webkit内核引擎，Opera 基于的内核引擎为Presto,这三款浏览器软件均于2010年才开始支持第三方扩展插件, Google Chrome可通过XMLHttpRequest和JSON机制来实现第三方扩展，而Safari与Opera则采用了标准化的HTML5、CSS3与JavaScript支持第三方实现扩展插件。

现代Web浏览器还通过各种客户端脚本执行环境、独立沙箱运行环境和虚拟机，来支持构造具有桌面应用程序特性的富Internet应用( RIA: Rich Internet Application)，目前Adobe Flash/Flex、Java 和微软Silverlight是三种最普遍的RIA平台环境技术，帮助Web应用程序提供更友好的用户交互、客户端执行与展现效果。

web浏览器软件的安全困境三要素

• 复杂性

现代Web浏览器软件由于需要支持HTTP、HTTPS、 FTP等多种类型的应用层协议浏览，符合HTML、XHTML、CSS等一系列的页面标准规范，支持JavaScript、Flash、Java、 SilverLight 等多种客户端执行环境，并满足大量的用户浏览需求，已经变得非常复杂和庞大。现代浏览器的复杂性已经通过源代码行数得到了验证。现代浏览器软件的复杂性意味着更多的错误和安全缺陷，也就导致了目前浏览器软件中存在着可被渗透攻击所利用的大量安全漏洞。

• 可扩展性

现代Web浏览器可能是最突出可扩展特性支持的软件类型，目前儿乎所有的现代浏览器软件都支持第三方插件扩展机制，并通过JavaScript等客户端脚本执行环境、沙箱和虚拟机来执行富Internet应用程序。而相对于大型软件厂商所开发的浏览器软件本身而言，三方扩展插件的开发过程更缺乏安全保证，出现安全漏洞的情况更为普遍。

此外，浏览器插件一般也不具备自动版本更新的机制，安全漏洞被利用的时间周期较系统软件与浏览器软件本身漏洞要长。恶意客户端脚本代码也是现代浏览器由于可扩展性所面临的主要安全威胁，攻击者可以在网站中链接恶意的JavaScript脚本代码，或者恶意Flash文件，当浏览器软件装载这些恶意客户端脚本代码，将会在浏览器端进行执行，从而被渗透攻击与利用。

• 连通性

现代Web浏览器本身就是为用户实现“随时随地浏览互联网”这一目标而存在的，因此浏览器软件始终工作在联网状态，一旦其中存在安全漏洞，就很容易被网络上的威胁源所利用与攻击。

Web浏览安全威胁位置

针对传输网络的网络协议安全威胁:网络是连接Web应用服务端与客户端浏览环境的媒介，因此对于Web浏览端而言，与Web服务器端同样面临着网络传输协议安全攻击与威胁，如网络监听与协议栈攻防技术。

针对Web浏览端系统平台的安全威胁:互联网用户在浏览网页过程中所使用的浏览器软件、插件及相关应用程序都运行在桌面操作系统之上，桌面操作系统所存在的安全漏洞使得Web浏览环境存在着被攻击的风险。目前微软的Windows操作系统产品占据了桌面操作系统的绝大部分市场份额，针对Windows桌面系统的渗透攻击与恶意代码是目前网络安全威胁的主要形态，如Windows操作系统安全攻防技术和恶意代码攻防技术。

针对Web浏览器软件及插件程序的渗透攻击威胁:随着防火墙、网络入侵防御系统等安全设备在网络边界上的部署，传统的针对服务器端的渗透攻击变得愈加困难，在这一背景下，针对Web浏览器软件及插件程序的客户端渗透攻击在近几年来逐渐变得流行，恶意攻击者在地下经济链的驱动下，通过客户端渗透攻击向互联网用户桌面系统中植入恶意木马程序，窃取隐私信息并以此牟取非法利益。

针对互联网用户的社会工程学攻击威胁:最后，恶意攻击者会利用进行Web浏览的互联网用户本身所存在的人性、心理等方面的弱点，实施社会工程学攻击，来尝试骗取互联网用户的敏感个人隐私信息，典型的该类安全威胁是目前常见的网络钓鱼攻击。