关于浏览器安全

  1. 云栖社区>
  2. 博客>
  3. 正文

关于浏览器安全

爱笑的我们 2018-06-22 23:25:02 浏览697
展开阅读全文

前言:

      浏览器是互联网的重要入口,在安全防护中,浏览器的作用也是越来越被人们所重视,在以为研究攻防中,大家更重视的是服务器端漏洞。而在现在,安全研究的范围已经覆盖了所有用户使用互联网的方式,浏览器正是其中之一

 

   本文将介绍一些主要的浏览器安全功能

浏览器安全策略

一:同源策略

同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能都可能会受到影响,可以说Web是构建在同源策略的基础之上的,浏览器知识针对同源策略的一种实现

影响源的因素有:host(域名或IP地址,如果是IP地址则看做一个根域名)、子域名、端口、协议

例:对JavaScript来说以下情况被认为是同源与不同源

  http://www.hao123.com/dir/aa.htm                      

       http://www.hao123.com/dir2/aa.html                                        

       https://www.hao123.com/aa.html                                               协议不同

       http://www.hao123.com:81/dir/aa.html                                   端口不同

    http://news.hao123.com/dir/aa.html                                       域名

 

注意:(1)同源策略是基于信任基础,但是也可以绕过同源策略。例如<scipt>标签,只能加载资源,不能读写资源,此漏洞可以绕过同源策略。

2XMLHttpRequest受到同源策略影响,不能跨越访问资源,在AJAX应用的开发中尤其需要注意这一点,如果XMLHttpRequest能够跨域访问资源,则可能会导致一些敏感数据泄露。

 

二:恶意网址拦截

恶意网址拦截原理:浏览器周期性的从服务器端获取一份最新的恶意网址黑名单,如果用户上网时访问的网址存在于此给名单中,浏览器则会弹出一个警告页面

常见恶意网址分两类:

(1)挂马网站:此类网站通常包含有恶意脚本如JavaScriptFlash,通过利用浏览器的漏洞(包括一些插件、控件漏洞)执行shellcode,在用户电脑上执入木马

(2)另一种就是钓鱼网站,通过模仿知名网站的相似页面来欺骗客户

一些有实例的浏览器的厂商,比如Google和微软,由于本身技术研发实力较强,且又掌握了大量的用户数据,因此自建有安全团队做恶意网址识别工作,用以提供浏览器所使用的黑名单。而PhishTank是互联网上免费提供恶意网址黑名单的组织之一,它的黑名单由世界各地的志愿者提供,且更新频繁

e2cc9ef8465b03547a74a23a444697eca6b00708 

 

  除了恶意网址黑名单拦截功能外,主流浏览器都开始支持EV SSL证书,以增强对安全网站的识别。很明显的是区别是 地址栏 开头是http 还是 https 如下图的两个网站对比

                     249ad5975bcdf202308321c9119f921b33ee270d                                                                      80b906c2767a45b78c0619ccfb3b6213c933cc85 

 

      因此网站在使用了EV SSL证书后,可以教育用户如何识别真实网站在浏览器中的“绿色”表现,以对抗钓鱼网站

 

三:高速发展的浏览器安全

   为了在安全领域获得竞争力,微软率先在IE8中推出XSS Filter功能,用来对抗反射型XSS,一直以来,XSS(跨站脚本攻击)都被认为是服务器应用端的漏洞,应该由服务器端应用在代码中修补,而微软率先推出了这一功能,就使得IE8在安全领域极具特色。

   当用户访问的URL中包含了XSS攻击的脚本,IE就会修改其中的关键字符,使得攻击无法成功。

Firefox也不甘其后,在Firefox中推出了Content Security PolicyCSP),这一策略是由安全专家Robert Hanson最早提出的,其做法是由服务器端返回一个HTTP头,并在其中描述页面应该遵守的安全策略

由于XSS攻击在没有第三方插件帮助的情况下,无法控制HTTP头,所以这一项措施是可行的,而这种自定义的语法必须由浏览器支持并实现,Firefox是第一个支持此标准的浏览器

CSP的设计理念无疑是出色的,但是CSP的配置规则较为复杂,在页面较多的情况下,很难一个个配置起来,且后期维护成本也非常巨大,这些原因导致CSP未能得到很好的推广。

 

总结:

浏览器的安全以安全策略为基础,加深理解同源策略,才能把握住浏览器安全的本质,在当前浏览器告诉发展的形式下,恶意网址检测,插件安全等问题都会显得越来越重要。


注:本文转自 吴翰清著《Web安全》一书

网友评论

作者关闭了评论
爱笑的我们
+ 关注