Web Security

Transcript

1. Web Security

2. Same Origin Policy 同源策略

3. 同源 • 协议相同 • 域名相同 • 端口相同

4. 同源策略的内容 限制来自不同源的“document”或脚本， 对当前“document”读取或设置某些属 性

5. 浏览器沙箱 • XMLHttpRequest和CURL发起请求有 什么不同？ • 同源策略保护当前域还是被请求域？ • SRC属性加载外部资源违背同源策略 么？ •

   第三方Cookie和会话Cookie

6. 如何绕过同源策略 • document.domain = "csdn.net" • Flash的crossdomain.xml • JSONP解决跨域发送请求，带来的问 题？

   • P3P解决跨域共享Cookie，带来的问 题？

7. Cross Site Scriping 跨站脚本攻击

8. XSS的分类 • 反射型 • 持久型

9. XSS攻击方式 • Cookie劫持 • XSS钓鱼（诱骗密码） • XSS蠕虫

10. 对抗XSS • HTTP Only Cookie • IE8 XSS Filter •

    Firefox的CSP（Content Security Policy） • IE8的X-Content-Type-Options: nosniff

11. IE8 XSS Filter • X-XSS-Protection: 1; mode=block

12. Firefox CSP • X-Content-Security-Policy: allow 'self' *.mydomain.com • X-Content-Security-Policy: allow

    'self' img-src *;media-src medial. com script-src script.com

13. Firefox CSP XSS Filter • reflected-xss allow is equivalent to

    X- XSS-Protection: 0 • reflected-xss filter is equivalent to X-XSS- Protection: 1 • reflected-xss block is equivalent to X- XSS-Protection: 1; mode=block

14. Auto HTML Escape能否彻底防御XSS？

15. Cross Site Request Forgery 跨站伪造请求

16. CSRF的原理 • 以用户的身份（Cookie）伪造请求

17. CSRF的危害 • 伪造普通用户的请求 • 伪造管理员的请求 • CSRF蠕虫

18. 使用Post请求能否彻底防御 CSRF?

19. Referer检测能否正确防御 CSRF？ • Flash某些版本可以自定义referer • 页面从HTTPS跳转到HTTP(RFC-2616) • Firefox中有相应参数可以设置是否发送HTTP Referer

20. CSRF的本质 • 所有请求参数都可以被攻击者猜到

21. 正确的防御CSRF方法 • 不可预测原则 • one csrf token per session •

    one csrf token per user

22. JSONP Hijacking JSONP 劫持

23. JSONP劫持本质是CSRF

24. 点击劫持（Clickjacking）

25. 点击劫持的防御 • FrameBusting：HTML5 iframe sandbox属性 和IE iframe security属性 • IE8+的

    X-Frame-Options： DENY/SAMEORIGIN/Allow-From • Firefox的CSP

26. 图片覆盖攻击（Cross Site Image Overlaying）

27. P3P头的副作用 IE默认禁止img,iframe,script,link等 标签发送第三方cookie，开启P3P之后会 允许发送第三方cookie

28. 开源软件和CVE • Semantic Versioning

29. Refs • http://recxltd.blogspot.co.uk/2012/03/seven-web-server-http-headers-that.html • https://blog.whitehatsec.com/x-frame-options/ • http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx • http://homakov.blogspot.com/2012/06/saferweb-with-new-features-come-new.html •

    http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx • https://www.owasp.org/index.php/HttpOnly • http://guides.rubyonrails.org/security.html#session-hijacking • http://en.wikipedia.org/wiki/HTTP_cookie#Secure_and_HttpOnly • http://rubylution.herokuapp.com/topics/32 • https://www.owasp.org/index.php/Clickjacking • http://blogs.msdn.com/b/ie/archive/2010/10/26/mime-handling-changes-in-internet- explorer.aspx • http://hi.baidu.com/aullik5/item/da5f5fec1a78c9d5ea34c9f8 • http://seclab.stanford.edu/websec/framebusting/framebust.pdf • http://book.douban.com/subject/10546925/ • http://hi.baidu.com/sysdog/item/4b44b7dd892d9655d63aaeb5 • http://semver.org/