1.安全世界观

1.1安全三要素

机密性Confidentiality：要求保护数据内容不能泄露，加密是实现机密性要求烦人常见手段；

完整性Integrity：要求保护数据内容是完整，没有被篡改的；

可用性Availability：要求保护资源是“随需而得”。

1.2实施安全评估

资产等级划分：对数据做等级划分，后划分信任域和信任边界；

威胁分析：可能造成危害的来源称为威胁，威胁分析是要把所有的威胁都找出来，一般采用头脑风暴法或者建模法；

风险分析：可能会出现的损失称为风险，可通过DREAD模型科学衡量风险；

安全解决方案：方案应能够有效解决问题，用户体验好，高性能，低耦合，易于扩展与升级。

1.3白帽子兵法

1.3.1 Secure By Default原则：

>白名单黑名单

    若更多地使用白名单，则系统就会变得更安全。

按照白名单的思想，应根据业务需求，列出一个允许使用的软件以及软件版本的清单，在此清单外的软件则禁止使用，注意避免出现类似通配符的问题。

>最小权限原则

    要求系统只授予主体必要的权限，而不要过度授权，需要认真梳理业务所需要的权限。

1.3.2 Defense in Depth纵深防御原则：

首先，要在各个不同层面，不同方面实施安全方案，避免出现疏漏，不同安全方案之间需要相互配合，构成一个整体；

其次，要在正确的地方做正确的事情，在解决根本问题的地方实施针对性的安全方案。

1.3.3 数据与代码分离原则

程序在栈或者堆中，将用户数据当做代码执行，混淆了代码与数据的边界，导致缓冲区溢出等安全问题，使用过滤，编码等手段，把可能造成代码混淆的用户数据清理掉。在Web安全中，由“注入”引起的问题很多，如XSS，X-Path等。

1.3.4 不可预测性原则

不可预测性能有效地对抗基于篡改，伪造的攻击，可以巧妙用于一些敏感数据上，实现往往需要用到加密算法，随机数算法，哈希算法。

 

2.客户端脚本安全

浏览器安全：浏览器本身就是一个客户端，若具备安全功能，则能想安全软件一样对用户上网起到很好的保护作用，另外浏览器安全也是浏览器厂商之间竞争的底牌。

2.1同源策略

同源策略（Same Origin Policy)是浏览器最核心最基本的功能。限制了来自不同源的“document”或脚本，对当前“document”读取或设置某些属性。

影响源的因素有：host（域名或IP地址），子域名，端口，协议。

对于当前页面来说，页面内存放JavaScript文件的域并不重要，重要的是加载JavaScript页面所在的域是什么。在浏览器中，<script>, <img>, <iframe>, <link>等标签是可以跨域加载资源，而不受同源策略的限制。

XMLHttpRequest受到同源策略的约束，不能跨域访问资源，若能跨域访问资源，则可能会导致一些敏感数泄露。

2.2浏览器沙箱

挂马：在网页中插入一段恶意代码，利用浏览器楼栋执行任意代码的攻击方式。

多进程架构：将浏览器的各个功能模块分开，各个浏览器实例分开，当一个进程崩溃时，也不会影响到其他的进程。

Sandbox：沙箱，泛指资源隔离类模块。设计一般是为了让不可信任的代码运行在一定的环境中，限制不可信任的代码访问隔离区之外的资源。O__O “…

2.3恶意网址拦截

浏览器周期性地从服务器端获取一份最新的恶意网址黑名单，若用户上网时访问的网址存在于此黑名单中，浏览器就会弹出一个警告页面。

恶意网站分两类：一类是挂马网站，这类网站通常包含恶意的脚本，如JavaScript或Flash，通过利用浏览器的漏洞执行shellcode，在用户电脑中植入木马；另一类是钓鱼网站，通过模仿知名网站的相似网页来欺骗用户。

目前浏览器厂商只是以推送恶意网址黑名单为主，浏览器收到黑名单后，对用户访问的黑名单进行拦截。PhishTank是互联网上免费提供恶意网址黑名单的组织之一。除了恶意网址黑名单拦截功能外，主流浏览器都开始支持EV SSL证书，以增强对安全网站的识别。

2.4浏览器安全

微软在IE8中退出了XSS Filter功能，以对抗反射型XSS。当用户访问的URL中包含了XSS攻击的脚本时，IE就会修改其中的关键字符使得攻击无法完成，并对用户弹出提示框。

Firefox 4推出Content Security Policy（CSP），由服务器端返回一个HTTP头，并在其中描述页面应该遵守的安全策略。

2.5.跨站脚本攻击（XSS）

2.5.1XSS简介

跨站脚本攻击Cross Site Script本来缩写是CSS，为了与层叠样式表（Cascading Style Sheet，CSS）区别，所以在安全领域叫做XSS。

XSS攻击是指黑客通过“HTML注入”篡改了网页，插入了恶意的脚本，从而正在用户浏览网页时，控制用户浏览器的一种攻击。

XSS根据效果分类：

1）反射型XSS

    反射型XSS只是简单地把用户输入的数据“反射”给浏览器。黑客需要诱使用户点击一个恶意链接，才能攻击成功，又叫做”非持久型XSS“。

2）存储型XSS

    存储型XSS会把用户输入的数据存储在服务器端，这种XSS具有很强的稳定性，又叫”持久型XSS“。

3）DOM Based XSS

    DOM Based XSS通过修改页面的DOM节点形成的XSS。

2.5.2XSS攻击进阶

XSS攻击成功后，攻击者能够对用户当前浏览的页面植入恶意脚本，通过恶意脚本，控制用户的浏览器，这些用以完成各种具体功能的恶意脚本即”XSS Payload“。

强大的XSS Payload：

1）构造GET和POST请求

2）XSS钓鱼

    对于验证码，XSS Payload可通过读取页面内容，将验证码的图片URL发送到远程服务器上来实施，攻击者可以在远程XSS后台接收当前验证码，并将验证码的值返回给当前的XSS Payload，从而绕过验证码。

    对于修改密码，利用JavaScript在当前页面上伪造一个登录框，当用户在登录框中输入用户名和密码后，其密码将被发送至黑客的服务器上。

3）识别用户浏览器

    若知道用户使用的浏览器，操作系统，就可能实施一次精准的浏览器内存攻击，最终给用户植入一个木马。

    通过JavaScript脚本识别浏览器版本，最直接的是通过XSS读取浏览器的UserAgent对象，但UserAgent是可以伪造的。

    由于浏览器之间的实现存在差异，不同的浏览器会各自实现一些独特的功能，而同一个浏览器的不同版本之间也可能会有细微差别，通过分辨这些差异，就能准确地判断出浏览器版本。

4）识别用户安装的软件    

    黑客通过判断用户安装的软件，选择对应的浏览器漏洞，最终达到植入木马的目的。

    通过收集常见软件的classid，就可以扫描出用户电脑中安装的软件列表，甚至包括软件的版本。

    在XSS Payload中使用时，可以在Flash的ActionScript中读取system.capabolities对象后，将结果通过ExternalInterface传给页面的JavaScript。

5）CSS History Hack

    通过CSS，获取用户曾经访问过的网站。利用style的visited属性—若用户曾经访问过某个链接，则这个链接的颜色会变得与众不同。

6）获取用户的真实IP地址

    XSS攻击需要借助第三方软件来完成。比如，客户端安装了Java环境（JRE），则XSS可以钓鱼Java Applet的接口获取客户端的本地IP地址。

2.5.3XSS攻击平台：

Attack API：总结了很多能够直接使用XSS Payload，归纳为API的方式。

BeEF：XSS演示平台，演示一个完整的XSS攻击过程，他有一个控制后台，攻击者可以在后台控制前端的一切。

XSS-Proxy：轻量级的XSS攻击平台，通过嵌套iframe的方式可以实时地远程控制被XSS攻击的浏览器。

终极武器：XSS Worm

Samy Worm：首先，MySpace过滤了很多危险的HTML标签，只保留了<a>, <img>, <div>等安全的标签，但允许用户控制标签的style属性，通过style构造出XSS。其次，MySpace过滤了’javascript’等敏感词，用拆分法绕过了这些限制。最后Samy通过AJAX构造的POST请求，完成了在用户的heros列表里添加自己名字的功能，同事复制蠕虫自身进行传播。

一般来说，用户之间发生交互行为的页面，如果存在存储型XSS，则比较容易发起XSS Worm攻击。

2.5.4调试JavaScript

Firebug：最常用的脚本调试工具，前端工程师与Web Hacking必备。

IE 8 Developer Tools：可以动态调试JavaScript。

Fiddler：本地代理服务器，需要将浏览器设置为使用本地代理服务器上网才可使用。Fiddler会家门口所有的浏览器请求，并有能力在浏览器请求中插入数据，支持脚本编程。

HttpWatch：以插件形式内嵌在浏览器中。能监控所有的浏览器请求，在目标网站是HTTPS时特别有用。

2.5.6XSS构造技巧

1）利用字符编码

2）绕过长度限制，利用事件能够缩短的字节数是有限的，最好是把XSS Payload写到别处，再通过简短的代码加载这段XSS Payload。最常用的是“location.hash”，根据HTTP协议，location.hash的内容不会在HTTP包中发送，所以服务器端的Web日志中并不会记录下location.hash里的内容。

3）使用<base>标签，它的作用是定义页面上的所有使用“相对路径”标签的hosting地址。<base>标签可以出现在页面的任何地方，并作用于位于该标签之后的所有标签。

4）window.name，对当前窗口的window.name对象赋值，没有特殊字符的限制。利用这个对象可以实现跨域，跨页面传递数据。

2.5.7变废为宝：Mission ImpossibIe

从XSS漏洞利用的角度来看，存储型XSS对攻击者的用处比反射型XSS要大。存储型XSS在用户访问正常URL时会自动触发，而反射型XSS会修改一个正常的URL，一般要求攻击者将XSS URL发送给用户点击，提高了攻击的门槛。

Apache Expect Header XSS：服务器在出错返回时，会把Expect头的内容未经任何处理便写入到页面中，因此Expect头中的HTML代码就被浏览器解析执行了。这需要再提交请求时向HTTP头中注入恶意数据，才能触发这个漏洞，但对于XSS攻击来说，JavaScript工作在渲染后的浏览器环境中，无法控制用户浏览器发出的HTTP头。而在Flash中发送HTTP请求时，可以自定义大多数的HTTP头。

Anehta的回旋镖：若在B域上存在一个反射型“XSS_B”，在A域上存在一个存储型“XSS_A”，当用户访问A域上的“XSS_A”时，同时嵌入B域上的“XSS_B”，则可以达到在A域的XSS攻击B域用户的目的。

2.5.8Flash XSS

在Flash中可以嵌入ActionScript脚本，ActionScript可以发起网络连接，应该尽可能禁止用户能够上传或加载自定义的Flash文件。

若网站应有一定要使用Flash，若只是视频文件，则要求转码未flv文件，flv文件是静态文件，不会产生安全隐患；若是带动态脚本的Flash，则可以通过Flash的配置参数进行限制。

2.5.9 JavaScript开发框架

Dojo：在Dojo 1.4.1中，存在两个DOM Based XSS。用户输入由theme参数传入，然后被赋值给变量themeCss，最终被document.write到页面里。

YUI：在YUI 2.8.1中，存在过一个DOM Based XSS。在官方demo页，点击一个Tab页，等待页面加载完成后，在URL的hash中插入恶意脚本，脚本会被执行。

jQuery：html()方法如果没有参数，就是读取一个DOM节点的innerHTML，若有参数，则会把参数值写入该DOM节点的innerHTML中，这个过程可能产生DOM Based XSS。

2.5.10 XSS的防御

1） HttpOnly

浏览器禁止页面的JavaScript访问带有HttpOnly属性的Cookie。这解决了XSS后的Cookie劫持攻击。

一个Cookie的使用过程如下：

浏览器向服务器发起请求，这是没有Cookie；

服务器返回时发送Set-Cookie头，向客户端浏览器写入Cookie；

在该Cookie到期前，浏览器访问该域下的所有页面，都将发送该Cookie。

HttpOnly是在Set-Cookie时标记的，但服务器可能会设置多个Cookie，而HttpOnly可以有选择性地加在任何一个Cookie值上。

2） 输入检查

常用的Web漏洞如XSS, SQL Injection等，都要求攻击者构造一些特殊字符。这些特殊字符可能是正常用户不会用到的，可以通过输入检查检测。

输入检查的逻辑，必须放在服务器端代码中实现，若只是在客户端使用JavaScript进行输入检车，是很容易被攻击者绕过的。目前Web开发的普遍做法，是同时在客户端JavaScript中和服务器端代码中实现相同的输入检车。

3） 输出检查

一般除了富文本的输出外，在变量输出到HTML页面时，可以使用编码或转义的方式来防御XSS攻击。

4）正确防御XSS

XSS可能发生的场景：

1）在HTML标签中/HTML属性中输出

    所有在标签中输出的变量，若未做任何处理，都能导致直接产生XSS。这种情况下，XSS的利用方式一般是构造一个<script>标签，或者是任何能够产生脚本执行的方式。

    防御方式：对变量使用HtmlEncode。

2）在<script>标签中输出

    在<script>标签中/事件中输出时，首先应该确保输出的变量在引号中，攻击者需要先闭合引号才能实施XSS攻击。

    防御方式：使用JavaScriptEncode。

3）在CSS中输出

一般尽可能禁止用户可控制的变量在<style>，HTML标签的style属性以及CSS文件中输出，若一定有这样的需求，则推荐使用OWASP ESAPI中的encodeForCSS()函数。

5） 处理富文本

    在过滤富文本时，“事件”应该被严格禁止，因为“富文本”的展示需求里不应该包括事件这种动态效果，并禁止一些危险标签，如iframe， script，base，form等。

    在标签的选择上，应该使用白名单，避免使用黑名单，如只允许a，img，div等比较安全的标签。白名单原则不仅仅用于标签的选择，同样应该用于属性和事件的选择。

    Anti-Samy是OWASP上一个开源项目，也是目前最好的XSS Filter。

6）防御DOM Based XSS

    DOM Based XSS是从JavaScript中输出数据到HTML页面里。 

 

参考资料：

白帽子说Web安全思维导图：https://www.cnblogs.com/edisonchou/p/edc_web_security_foundation_notes.html