Web安全

1. Web安全
银翘
2014-07-07

3. 主要内容
• 关于安全
• 前端安全
• 安全规范

4. 关于安全

5. 安全三要素
• CIA
• 机密性Confidentially
• 完整性Integrity
• 可用性Availability

6. 安全评估
• 资产等级划分
• 威胁分析
• 风险分析
• 确认解决方案(设计安全方案)
• 能够有效解决问题
• 用户体验好
• 高性能
• 低耦合
• 易于扩展与升级

7. 威胁分析模型

8. 安全分析模型

9. 安全原则
• 最小权限原则——时刻牢记
• 纵深防御原则——更全面、更正确地看待问题
• 数据与代码分离原则——从漏洞成因上看问题
• 不可预测性原则——从客服攻击方法的角度看问题

10. Web安全
• XSS
• CSRF
• JSON hijack
• SQL注入
• 任意url跳转
• 权限类漏洞
• Flash安全
• 敏感信息泄露
• 逻辑类漏洞
• 任意文件上传
• 文件包含
• 命令执行
• 不安全的传输
• 暴力破解

11. Web安全
• 客户端安全
• 服务端安全

12. 关于安全
• 安全问题的本质是信任问题

13. 关于安全

14. 前端安全

15. 前端安全
• 浏览器安全
• XSS
• CSRF
• HTML 5 安全

16. 前端安全
• 浏览器安全
• 同源策略Same Origin Policy
• 浏览器沙箱：多进程
• 恶意网址拦截：基于黑名单

17. 同源策略

18. 同源策略
• 源继承
• 来自about:blank，javascript:和data:URLs中的内容，继承了将
其载入的文档所指定的源
• IE特例
• 授信范围
• 端口
• 变更源
• 可设置document.domain 的值为当前域的一个后缀
• 使用document.domain来安全是让子域访问其父域，需要同时
将子域和父域的document.domain设置为相同的值。
• 端口号：document.domain=“company.com:8080”

19. 同源策略的限制
• DOM
• Cookie
• XMLHttpRequest
• 限制JavaScript的权限，不能读写返回内容

20. 不受同源策略的限制
• 可以跨域内嵌的资源
• <script src=“…"></script>
• <link rel=“stylesheet" type="text/css" href="...">
• <img>
• <video>、<audio>
• <object>, <embed> 和<applet>
• @font-face
• <frame> 和<iframe>——可X-Frame-Options消息头阻止
• 第三方插件：Flash 、Java Applet、Silverlight、Google Gears

21. 前端安全
• XSS——ex:1_input.php
• 反射型XSS：把用户输入反射给浏览器
• 存储型XSS：把用户输入存储在服务端
• ——持久型
• 基于DOM的XSS：修改页面DOM节点
• ex:2_dom_xss.html

22. XSS
• XSS Payload
• 盗取Cookie
• 构造GET、POST
• http://blog.baidu.com/manage/entry.do?m=delete?i
d=15672313
• XSS 钓鱼——画出虚假登陆框盗取密码
• XSS Worm

23. XSS
• XSS 构造
• 利用字符编码
• var redirectUrl = “”;alert(/xss/);”;
• 利用注释绕过长度限制
• location.hash
• <base>标签
• window.name

24. XSS防御
• Cookie HttpOnly
• 输入过滤检查：XSS Filter
• 输出编码检查：
• HTMLEncode: escape、htmlentities()、
htmlspecialchars()
• JavaScriptEncode: 变量输出必须在引号中
• 只需一种编码
• 避免客户端的脚本对DOM重写、重定向等其他敏感操作

26. XSS防御
• 避免如下代码：
• window.setTimeout系列
• window.location系列
• document.write()系列
• document.create..系列
• document.location系列
• document.open(…)
• 标签闭合

27. DOM Based XSS
• input
• window.location/href/hash
• window.name
• document.referer
• document.cookie
• localstorage
• XMLHttpRequest

28. 前端安全
• CSRF

29. CSRF
• Cross-site Request Forgery
• XSRF/CSRF

30. CSRF
• 依靠用户标识危害网站
• 利用网站对用户标识的信任
• 欺骗用户的浏览器发送HTTP请求给目标站点
• 另外可以通过IMG标签会触发一个GET请求，可以
利用它来实现CSRF攻击

31. CSRF
• 需登录
• Form
• AJAX

32. CSRF防御
• 将持久化的授权方法（例如cookie或者HTTP授权
）切换为瞬时的授权方法
• 时间戳
• 验证码
• token

33. 前端安全
• HTML 5 安全

34. HTML 5 安全
• video/audio
• <video src=“http://xxx/file/xxxx.ogg” onloadedmetadata=“alert(document.cookie)”
tabindex=“0”></video>
• iframe sandbox
• <iframe sandbox=“allow-same-origin allow-forms allow-scripts allow-top-navigation”
src=“xxx”></iframe>
• noreferer 不发送referer
• <a href=“xxx” ref=“noreferer”>test</a>
• canvas破解验证码
• postMessage跨窗口传递消息
• 验证domain，url等

35. 安全规范

36. JavaScript安全规范
• 禁止使用外部引用的js,外链应当完全使用a.tbcdn.cn上的资源文
件
• 慎用eval,setTimeout,setInterval和从不可信站点获取的字符串操
作的函数
• cookies操作一定要征询后端工程师的意见,避免撑破cookies的大
小限制
• 前端代码禁止获取referer,所有referer的操作由后端工程师处理
• 禁止发送页面相关信息到第三方站点
• 所有数据必须经过服务端的验证，js代码需要经过jslint的测试

37. 安全规范
• 页面级别的HTML规范
• 标签完整
• 代码级别的规范
• 接口规范、coding规范
• 代码review

38. 参考
• 《白帽子讲web安全》
• 《Web前端黑客技术揭秘》

40. Thank you

41. Q&A