正文 

当前位置: 首页 > java > java教程

白帽子讲web安全第六章html5安全

在窗边的豆豆助      2022-02-07     203

关键词:

1、新标签的XSS
     H5中定义类很多新标签、新事件可能带来XSS(为研究XSS攻击H5的变化成立项目----HTML 5 Security Cheatsheet)
     eg:
        1)  <video src=" "  onloadedmetadate="alter(XSS)">----远程加载视频
        2)  <audio>----远程加载音频
        3) iframe 的新属性---sandbox:这一属性使iframe加载的内容变成一个独立的源,其中脚本被禁止执行,表单被禁止提交,             插件被禁止加载,指 向其他浏览器的链接也会被禁止。
            sandbox属性的可控参数有:allow-same-origin----允许同源访问
                                                      allow-top-navigation-----允许访问顶层窗口
                                                      allow-forms--------------允许提交表单
                                                       allow-scripts------------允许执行脚本 (不允许弹出窗口)              
                                     
       4)Link Types:noreferrer
          H5中<a><area>定义了新的Link Types:noreferrer----------浏览器在请求该标签指定的地址时将不再发送referer
          (referer可能会泄漏一些敏感信息)。eg:<a href="xxx" rel="noreferrer"/>
 
       5)Canvas-----H5的图形容器,使用脚本来绘制图形。
          通过Canvas可以破解图片验证码(使用脚本)
 
2、其他安全问题
     1)Cross-Origin Resource Sharing
          浏览器请求头里 Origin :http://www.a.com/test.html----------标记了HTTP发起的源,服务器通过识别浏览器自动带上       的这个OriginHeader,来判断浏览器的请求是否来自一个合法的源。可以用于防范CSRF。
          服务端返回:Access-Control-Allow-Origin: *-------------------允许客户端跨域请求通过(使用通配符“*”表示允许任意域       的跨域请求通过,十分危险)
 
     2)postMessage---------跨窗口传递消息
          H5中新的API:postMessage---------允许每个window窗口(包括当前窗口、弹出窗口、iframe等)向其他窗口发送文本       信息,此功能不受同源策略限制。
          发送:window.postMessage("xxxxxxx");
          接收:document.addEventListener("message",function(e){e.date})
          使用时需注意的安全问题:
           a、必要时,可以在接收窗口验证Domain,甚至URL,以防止非法页面的消息。
           b、接收回的消息应进行安全检查,否则若直接写入innerHTML或script中,会导致DOM based XSS产生。
           c、postMessage可以突破sandbox限制。
 
      3)Web  Storage---用于存储客户端(WEB端)复杂或数据量大的数据形式,类似cookie。存储形式key/value。
           由两部分组成:sessionStorage与localStorage[1]  。
            sessionStorage:用于本地存储一个会话(session)中的数据,这些数据只有在同一个会话中的页面才能访问并且当会话结束         后数据也随之销毁。因此sessionStorage不是一种持久化的本地存储,仅仅是会话级别的存储。
            localStorage:用于持久化的本地存储,除非主动删除数据,否则数据是永远不会过期的。
            设值:window.sessionStorage.setItem(key,value);     window.localStorage.setItem(key,value);
            读值: window.sessionStorage.getItem(key);               window.localStorage.getItem(key);
           清空: window.sessionStorage.clear();
 
 
     

好书推荐写web必须知道的安全知识|《白帽子讲web安全》

...小雨青年,一名程序员。今天为你推荐的书籍是《白帽子讲Web安全》。作为写后台的你,是否困惑用户输入应该提防哪些方面?作为写前端的你,是否已经注意页面能不能执行用户输入的脚本?作为产品经理的你&#x... 查看详情

《白帽子讲web安全》学习笔记之第12章web框架安全

第12章WEB框架安全12.1MVC框架安全在Spring框架中可以使用springsecurity来增加系统的安全性。12.2模板引擎与XSS防御 12.3WEB框架与CSRF防御在MVC中防御CSRF:q 在Session中绑定token。如果不能保存到数据库中的Session,则使用Cookie.q ... 查看详情

《白帽子讲web安全》学习笔记之第15章webserver配置安全

第15章webserver配置安全15.1apache安全在linux部署安装webServer时候一定主要要使用“最小权限原则”。尽量不要使用root部署。15.2nginx安全Nginx安全配置指南技术手册PDF下载免费下载地址在http://linux.linuxidc.com/用户名与密码都是www.linuxid... 查看详情

《白帽子讲web安全》学习笔记之第18章安全运营

第18章安全运营18.1把安全运营起来战略:q 寻找漏洞并修补--漏洞修补q 防御快速响应--安全监控q 规范开发流程--入侵检测18.2漏洞修补流程流程:q 建立类似BugTracker的漏洞跟踪机制,并为漏洞的紧急程序选择优先级... 查看详情

《白帽子讲web安全》学习笔记之第1章我的安全世界观

第1章我的安全世界观1.1web安全简史1.1.1中国黑客简史现在中国乃至全世界的黑客或者说是骇客已经进入了“黑暗时代”,因为互联网存在这大量的利益。1.1.2黑客技术的发展历程1.1.3web安全的兴起web安全是信息安全领域的一个重... 查看详情

想成为白帽子需要学些啥?最近在看《白帽子讲web安全》,可是发现自己看不懂,学校有在学web编程

想成为白帽子需要学些什么?最近在看《白帽子讲web安全》,可是发现自己看不懂,学校有在学web编程基础(html5.css.js),除了这个我还需要学些什么的。1、学习基本的网络编程语言,比如html2、学习脚本编程语言,比如python,... 查看详情

《白帽子讲web安全》学习笔记之第17章安全开发流程(sdl)

第17章安全开发流程(SDL)17.1SDL简介安全开发是从根源有效地解决安全漏洞问题,而已在软件的生命周期内,这样的开发模式成本更低。SDL过程:q 培训所有的开发人员必须接收适当的安全培训,了解相关的安全知识。q ... 查看详情

《白帽子讲web安全》学习笔记之第2章浏览器安全

第2章浏览器安全2.1同源策略同源策略是浏览器的安全基础。同源策略的作用是让"document"相互独立。影响“源”的因素:host(域名或IP,如果是IP地址则看做一个根域名),子域名,端口,协议。注意:对于当前页面来说,页面内存... 查看详情

《白帽子讲web安全》学习笔记之第16章互联网业务安全

第16章互联网业务安全16.1产品需要什么样的安全安全是一个独立的,应该与业务持平。16.1.1互联网产品对安全的需求安全性是产品特性的一个组成部分,具备了安全性,产品才是完整的;安全做好了,产品才是最终正真的成熟。... 查看详情

《白帽子讲web安全》学习笔记之第10章访问控制

第10章访问控制10.1whatcanido?权限控制是值某个主体(身份)对某一个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。在一个安全系统中,确定主题的身份是“认证”解决的问题;而客体是胭脂红资源,是主题发... 查看详情

《白帽子讲web安全》学习笔记之第8章文件上传漏洞

第8章文件上传漏洞8.1文件上传漏洞概述文件上传漏洞是指用户上传一个可执行的脚本文件,并通过此脚本文件活动执行服务器端的能力。原理:由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致... 查看详情

《白帽子讲web安全》学习笔记之第7章注入攻击

第7章注入攻击SQL注入的两个条件:1,用户可以控制输入;2,原本执行的SQL语句并接了用户输入的数据。7.1sql注入SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意... 查看详情

白帽子讲web安全(精写含思维导图)(代码片段)

...一篇世界观安全第一章我的世界安全观1.1Web安全简史1.2黑帽子,白帽子1.3返璞归真,揭秘安全的本质1.5安全三要素机密性完整性可用性1.6如何实施安全评估资产等级划分威胁分析(威胁建模STRIDE模型)Spoofing(... 查看详情

《白帽子讲web安全》学习笔记之第9章认证与会话管理

第9章认证与会话管理9.1whoami?认证包含了身份和身份认证两层含义。q 身份—我是谁?q 身份认证—这就是我。认证的目的就是为了认出用户是谁?而授权的目的是为了决定用户能够做什么。认证实际上就是一个验证凭证... 查看详情

《白帽子讲web安全》学习笔记之第3章跨站脚本攻击(xss)

第3章跨站脚本攻击(xss)3.1xss简介恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS攻击:跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(... 查看详情

《白帽子讲web安全》学习笔记之第4章跨站点请求伪造(csrf)

第4章跨站点请求伪造(CSRF)4.1CSRF简介CSRF(Cross-siterequestforgery跨站请求伪造,也被称为“oneclickattack”或者sessionriding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deput... 查看详情

《白帽子讲web安全》世界观安全

...f0c;也逐渐转移到了Web这块大蛋糕上。1.3Web安全的兴起2.黑帽子,白帽子正如一个硬币有两面一样,“黑客”也有好坏之分。在黑客的世界中,往往用帽子的颜色来比喻黑客的好坏。3.返璞归真,揭秘安全的本质安... 查看详情

《白帽子讲web安全》学习笔记之第5章点击劫持(clickjacking)

第5章点击劫持(clickjacking)5.1什么是点击劫持点击劫持是一种视觉上的欺骗手段。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。主要特征q 点击劫持是一种恶意攻击技术,用... 查看详情