计算机通信-4.web安全-第四章

NETWORK第四章Web安 liuqixu@ucas.ac.计算机与控制学院 Web安 与根跨 与防研究进 计算机通 Web安 与根跨 与防研究进 计算机通 计算机通 计算机通 计算机通 计算机通 计算机通 2013 事件类型统 安年CERT/CC接收到 计算机通 2013 类型统 年VD收 计算机通 利用 进行一句 。事件 进行了DDoS 计算机通 利用 攻陷服务一句 务器，获 事件ApacheStruts2 代码执 2014年4月，建设银行、工商银行、中国银行、淘宝、京 计算机通 Web 计算机通 Web安 与根跨 与防研究进 计算机通 Web安 根源——Web安 接踵而至的就是Web安全的凸显，利用系统的漏洞和Web服务程序的SQL注入等得到Web服务器的控制权则是在网页中植入代码，使得者受到。 计算机通 WebServices网络层的防护措施 WebServicesApplicationApplication

ApplicationCodeNetworkAppServerWebServerHardenedNetwork 计算机通 VS.操作系内容Root 计算机通 2013OWASPTOPOWASPTOP10-A1注A2失效的认证和会话管A3跨站A4不安全的直接对A5安全配置错A6敏感信A7功能级控制缺A8跨站请求A9使用含有已知的组A10未验证的重定向和 计算机通 A1注 ，例如SQLOS以及LDAP注入。这发送给解释器的时候。者发送的数据可以解释器，以执行计划外令或者在未被恰当时数据 计算机通 SQL 计算机通 A2-失效的认证和会话管与认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了者破坏、密钥、会话令牌或其他的去冒充其他用户的。 计算机通 缺少状态意味续处理需要前面的信息，则为了维持一个 通信中 计算机通 A3-跨 当应用程序收到含有不可信的数览器，这就会产生跨站。XSS允许者在受害者的浏览器上执行，从而劫持用户会话、危害、或者将用户转向至。 计算机通 ， 计算机通 将获取登进了教员的 计算机通 -第四章Web安 A4-不安全的直接对当开发人员一个对内部实现对象的时，例如，一个文件、或者数据库 者会操控这 数据 计算机通 计算机通 A5–安全配置此，必须定义、实施和这 计算机通 公司的团购业务应用，采用的是团 系统 计算机通 一门 ，某公司团购分站被 计算机通 网 原团购系统，上传页面未做任何验Nginx与FastCGI配置不当，导致任意扩展名文件被作 解 计算机通

网 原 计算机通 A6敏感数据，如、验证凭据。者可能会窃取或篡改诈骗、窃取或其他。敏 计算机通 S到S

，涉 计算机通 A7–功能 控制缺大多数Web应用程序的功能在中可见，会验证功能级别个功能被时在服务器端执行相同的控制检查。如果请求没有被验证，者能够请求从而在适当时功 计算机通 计算机通 A8–跨站请 一个跨站请 迫使登录用户的浏览器 HTTP请求 洞的应用程序发送请求，而这些请求会被应用程序认为是用合法 计算机通 A9–使用含有已 的组组件，比如：库文件、框架和其件模块，几乎总是以全部的权限。如果一个带有的组件被利用，这种可以造成更为严重的数据丢已知的组件会破坏应用程序防御系统，并使一系列可能的和影响 计算机通 年月日，该软件被披露存在一 计算机通 中474 IP因存 成功。从时间周期看，如下图所示，在一之内被尝 数量呈现上升趋势并保持 ，在3月8日达到峰， 成功 IP达到286个 信信交通大学网络信息交通大学网络信息中心在华东地区教育网内的监测1903源IP对9972IP发起尝。如下图所示，从2月日至3月8日，IP数量总 计算机通 A10–未验证的重定向和转发到其他网页和，并且利用果没有得到适当验证，者可以重定向受害用户到软件或。 计算机通 计算机通 计算机通 2014年各 安 被扫出次数的比例分布情跨 计算机通 Web安 与根跨 与防研究进 计算机通 基本XSS哪里可以BypassXSS案例XSS能做什防御跨站相关 计算机通 CROSS-SITESCRIPTINGCross-SiteScripting(XSS)attacksareatypeofinjection,inwhichmaliciousscriptsareinjectedintootherwisebenignandtrustedwebXSSattacksoccurwhenanattackerusesawebapplicationtosendmaliciouscode,generallyintheformofabrowsersidescript,toadifferentenduser.Flawsthatallowtheseattackstosucceedarequitewidespreadandoccuranywhereawebapplicationusesinputfromauserwithintheoutputitgenerateswithoutvalidatingorencodingit. 计算机通 跨 （Cross-Site 客户端Web安全中的头号 的 、客户 、其它能执行JS的容器大多数时候与JavaScript有 计算机通 form:url 文件的内 计算机通 基本XSS哪里可以BypassXSS案例XSS能做什防御跨站相关 计算机通 反射型把用户输入的数据“反射”给浏览器 需要诱使用户点 接，才 成功，这类跨站的代码一般 到服务型这是利用起来最方便的跨站类型，跨站代 于服务端（比如数库中DOMBased 计算机通 型XSS——通常情 PHPCode:<?echo"<divHTMLCode:PHPCode:<?echo"<divHTMLCode:<divclass=’question'>”HowdoIgeta用户问题页户问题页

工作人服务器请求工作人服务器请求

问：“如器含用户问L页回给工HTM器含用户问L页回给工

款 计算机通

服务 型PHPPHPCode:<?echo"<divHTMLCode:<div者题页工作题页

受害者受害者

务器请求者通过HTTP务器请求器含用户问L页回给受HTM器含用户问L页回给受

服务器把问题储在数据库

服务 反射型者发送带 的邮件

Yourreturned0 点击带 参数包页包页5.执行嵌入

代

受害服 计算机通 DOM-Based传统 是由服务器端代码引起的，主要通过服务器端代过滤来防御 Web2.0时代的到来，客户端出现了 。与服务器似，这 代码也很有可能容易受 当 存在于客户端代码时，这种 被称作based 计算机通 DOM-Based者发送带 的邮件

忽略参数点击带 参数用 计算机通

安全页 安全页

反射型XSS（例下面这个页面的主要作用是获取面中显示 ，XXX”的形式，具体代码如下$username=echo ,如用户提 为 ”，完整的URL地址如下• 计算机通 ，！，！反射型XSS（例.， 计算机通 反射型XSS（例认证官网，我的投稿，插 处对用户的输入过滤不严 计算机通 反射型XSS（例点击插 ，然后确 计算机通 反射型XSS（例 地址写“ 计算机通 型XSS（例 S 为见的景是博或发布统中，包有的数信直写文文章论中，有览章评用户都会在们客端览器环中执插的。在某的话题下面发布一个帖 计算机通 型XSS（例用IE6、7的用户打开这个这个帖子就会出现alert(‘xss’)弹窗 计算机通 型XSS（例邮箱中的附 预览页面存在的 计算机通 型XSS（例 计算机通 DOMBased，与下面页面功能是提交一 的URL地址以后，在页面中展示。 计算机通 DOMBased<title>DOMBasedXSSfunction{varstr }<div<inputtype="text"id="input"size=50value="" 计算机通 DOMBased当用户输入完 的点按交”按钮的k事件会用函数，数获取用户提交的地通T将页面节点进修改，把用户提交的数代的式入面并行示。 计算机通 DOMBasedonerror=’javascript:alert(/DOMBasedXSSTest/)”，在浏览器中 计算机通 基本XSS哪里可以BypassXSS案例XSS能做什防御跨站相关 计算机通 HTMLXML客户端软pdf、 HTML上的一 元wmf,word,pdf, 计算机通 基本XSS哪里可以BypassXSS案例XSS能做什防御跨站相关 计算机通 跨 ——BYPASSXSSHTML中有多处可以合法执行HTML中的其 元素导致的浏览器解析处理差异导致的浏览器特性导致的浏览器bug导致的编码问题导致的不完备 策略导致的XSSFilter本身的缺陷导致的以上综合因素导致的 计算机通 跨 ——BYPASSXSSjavascript<iframe…HTML属 计算机通 跨 ——BYPASSXSSCSSexpressionjavascriptmoz-bindingDataURI内容输出到html中，包括 计算机通 跨 ——BYPASSXSS flash…pdfappletwmf … 计算机通 跨 ——BYPASSXSS浏览器解析处理差异导致的Webkit内核浏览器解析TextareainnerHTML 对宽字节编码的处理方式… 计算机通 跨 ——BYPASSXSS浏览器特性导致的

比如css中的expression，*background里的伪协…<table… 计算机通 跨 ——BYPASSXSS浏览器特性导致的XSS（续css中的BODY{-moz-binding:url("xss-E4X的实例 … 计算机通 跨 ——BYPASSXSS浏览器bug导致的IE7/8javascript伪协议bypass<imgsrc=''… 计算机通 跨 ——BYPASSXSS编码问题导致的utf-7us-ascii编码的highbit问multi-byte编gbkbig5euc-jp… 计算机通 跨 ——BYPASSXSS不完备 策略导致的要 ，要么就 总是有新元素出现 很可能就被对 的过html5出现新 对on事件的过, … 计算机通 跨 ——BYPASSXSS预留filter from 计算机通 跨 ——BYPASSXSS正则编写s/[\x00-… 计算机通 基本XSS哪里可以BypassXSS案例XSS能做什防御跨站相关 计算机通 Bypasssinamailxss这是典型的xssfilter缺过滤了从而…邮箱的bypass从来就是热门研究对象，尤其是 计算机通 Bypasssinamailxss邮件正文、附件、 元素分析mail系统什么情况下能保留 ，比如javascript:，甚至on*事件fuzzing浏览器解析构造绕过模型边缘性的XSS挖半自动化fuzzing，分析工具的利… 计算机通 Flash参数通过类 的方式，将意数据传进flash的 中处理执If(_root.movieURI==undefined)_root.movieURI }loadMovieNum(_root.movieURI, 计算机通 计算机通 Flash参数if(_root.url==undefined)_root.url= } 计算机通 基本XSS哪里可以BypassXSS案例XSS能做什防御跨站相关 计算机通 DOS 蠕虫式的蠕虫式挂 、 … 计算机通 为什么需要同源同源策应别应用。既然如此，就别无操应用，是保证安全的 式。假 者利用Iframe把真正的银行登录页面嵌到他的页面，当用户使用真实的用户名、登录时，该页面就可以通过JavaScript到用户表单中的内容，这样用户名和信息而运用了同源安全策略后，用户确实 计算机通 同源浏览器的同源策略是Web安全的基础，所有的主流浏览器都会有相应的实现。同源策略中“源”是一个包含主机名、协议和端 （如JavaScript） 的HTTP请求和 URLURL备注 是同否 否同不同协否与其IP均不 否 计算机通 跨域资源共享受到制受到源略影资源享当一些较入的前编的不免地要行域作时候源就显过苛。是发者想各各的方比用Ifrme虽然技能来 功但是功的放意着的风。即便是有了浏览器沙箱和同源策略的保护，用户依然会受 的 ，XSS跨 就是最大 之一100计算机通 基本XSS哪里可以BypassXSS案例XSS能做什防御跨站相关101计算机通 最主要目标不是Web服务器本身，而是登 102计算机通 对所有用户提交内容进行可靠的输入保护所有敏感的session标记（sessiontokens） 确认你接收的HTML内容被妥善地格如果你应用必须支持用户交，但可以仅含最小化（去掉何对 内容的 （尤其是样式表和ct）。103计算机通 HttpOnly防止劫最早由微软提出，至今已经成为一个标准。浏览器 页面 带有HttpOnly属性 查 有没有用HttpOnly，未登录时 可以看到，所 都没有设置HttpOnly。登录之后名为BDUSS 设置了HttpOnly。可以猜测 104计算机通 HttpOnly防止劫JavaScript只 到没有HttpOnly标识 105计算机通 输入检查用户输入的数据中的<、>、’、"端用JavaScript绕过。106计算机通 输出在 中输$a$a=$b="<imgsrc=#onerror=alert(2)<a$a=$b$a=$b="<imgsrc=#onerror=alert(2)<a107计算机通 输出在css中输$immune=$immune=在地址中 $instance$instance=$instance-108计算机通 处理富文例如发布博客时，用户可以随意输入任意字符 ，插代码，还可以设置样式设置好 ，严格控 自定义css较麻烦，最好使用 开源框架来检查。php可使用htmlpurify109计算机通 防御DOMBasedDOMBasedXSS是从javascript中输出数据到HTML页面varx=按照在<script>中输出用到的防御方法，在x赋值时进行编，但是当.write输出数据到HTML时，浏览器重新了页面，会将x进行，这样相当于没有编码，而产生xss出到事件或，则要再做一次ceT。110计算机通 111计算机通 、电子邮件或者即时通讯软件中点 时需要格：留心可疑的过 ，尤其是它们看上去包含了HTML代码 世界上没有“100%的有效”。尽量避免有问题的站点：比如提供hack信息和工具、软件的。这些类型的会利用浏览器并危害操作系统。112计算机通 基本XSS哪里可以BypassXSS案例XSS能做什防御跨站相关113计算机通 站114计算机通 1、跨站点的请2、请求是的被者的浏览器被迫向目标站点发起了的请求，这个过程会带上被者的验证标识（session）以通过目标站点的从而借用被者在目标站点上的权限进行一系列不被期望的作115计算机通 正常的请求 的请求浏览器、目标站点没对它们进行主要请求的类POST型CSRF、GET型CSRF利用各种技术在客户端发起有效的POST请求与GET请求各种技术：JavaScript,ActionScript,HTML/CSS,XML,ASP,JSP,.NET等等用户驱动下的请主动的 的116计算机通 使用GET方式发起的 通过社工等手法让 站点的CSRF文件FAST无线宽带路由器的WEB管理的默认用户名 admin117计算机通 CSRFrar自解压文件内执行javascript，等0计1180计服务 技

计算机通 在服务端区严格区分好POST与GET的数据请求可以考虑使用referer来判断请求如果referer是站外的话 请求。Flash的referer为空，记不要在客户 referer值120计算机通 Token使用Token要足够随 的，即每次请求成功后要更新这样可以增 Token要注 敏感操作使用post，防止Token出现在URL在一些重要的表单提交处可以考虑使 或 确认方这种方法很有效，但是削弱用户121计算机通 基本XSS哪里可以BypassXSS案例XSS能做什防御跨站相关122计算机通 XSSAttack OWASP–TestingforOWASP–XSSFilterEvasionCheatWikipedia：Cross-site123计算机通 124计算机通 125计算机通 Web安 与根跨 与防研究进126计算机通 方2013年的NDSS会议上的ThePostmanAlwaysRingsTwice: 器等。postMessage函数用于不同源之间的 127计算机通 方2013年的CCS会议上的mXSSattacks:attackingwell-securedweb-applicationsbyusinginnerHTMLmutation研究了一种新型 ，是由于对单引没正处造的，f，m三大浏览器 都S 。文究且现三类的mS m施除第种后在这之未相研。128计算机通 XSS防御2013年的CCS会议上的deDacota:towardpreventingserver-sideXSSviaautomaticcodeanddataseparation基于XSS 129计算机通 XSS防御2012年的NDSS会议上的PathCutter:SeveringtheSelf-PropagationPathofXSSJavaScriptWormsinSocialWeb ：一、将客户端的页面划分为很多个视图，划分的标准是中包每可改服端内（如言者发布的分作为一个视图。同视对有同使权。、操作自一未 图，该作。130计算机通 XSS检测2013年的CCS会议上的25millionflowslaterlarge-scaledetectionofDOM-basedXSS提出并实现了检测和验证Web应用程序中基于 个域中 个基于DOM的 ，表明96%的受检验的站中，至少带有一个基于DOM的 131计算机通 XSS检测L-WMxD(LexicalbasedWebmailXSSWehaverunL-WMxDover26real-worldWebmailapplicationsandfoundvulnerabilitiesin21Webmailservices,includingsomeofthemostwidelyusedYahoo!Mail,MirapointWebmailandORACLE’CollaborationSuiteMail.ZhushouTang,ZhushouTang,HaojinZhu,ZhenfuCao,ShuaiZhao,"L-WMxD:LexicalbasedWebmailXSSDiscoverer,"inIEEEConferenceonComputerCommunicationsWorkshops,WKSHPS2011,Shanghai,2011,pp.976-132计算机通 XSSFILTEREVASIONCHEATXSS检测2013年CCS会议上的POSTER:TrendofonlineflashXSS FlashXSS检测方案FXD，能够自动的抓取页面中的Flash文件，并 134计算机通 ComplementaryCharacter提出了一种新的基于互补字符编码的动态污点追踪算法来防范Web用程序中的SQL注入和 2011–ESORICS-A ysisofXSSSanitizationWebApplication135计算机通 2012-CCS-ScriptlessAttacks-Stealin