课程:《密码与安全新技术专题》
班级: 1892班
姓名: 李炀
学号:20189215
上课教师:谢四江
上课日期:2019年2月26日
必修/选修: 选修
1.本次讲座的学习总结
讲座主题:web安全和内容安全
- web安全在狭义上可以叫做应用安全,指一个具体的网络应用的安全。
- 震网病毒说明了物理隔离不是100%有效的。
- 大数据时代,出现了GPT上帝模式攻击,这种攻击基于全球全网大数据能力。
- 攻击方式的改变:可探测 → 可访问 → 可掌控。
- 常见的web漏洞
①SQL注入
SQL注入的本质是由于对输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。
按提交字符类型可分为:数字型、字符型、搜索型。
按注入方式可分为:盲注、union注入、报错注入。
按HTTP提交方式可分为:GET、POST、Cookie。
javascript:alert(document.cookie="id="+escape("x"))
document.cookie:表示当前浏览器中的cookie变量
alert():表示弹出一个对话框,在该对话框中单击“确定”按钮确认信息。
escape():该函数用于对字符串进行编码。
②XSS跨站脚本攻击
恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
分为反射型XSS(非持久型 XSS)和存储型XSS(持久型 XSS 漏洞)。
③CSRF跨站请求伪造
跨站请求伪造(Cross-site request forgery)是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。攻击的实施过程是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
④验证不充分之上传漏洞
对文件名、后缀名、文件的路径没有检测,导致可以执行恶意代码。
⑤弱口令
⑥社会工程学 - 隐私安全之位置轨迹信息
户外运动健身追踪应用Strava、百度“黄金眼”项目等可以从用户的移动上网设备收集到用户的轨迹信息,前者可能泄露出一些敏感部位的位置与信息;后者通过莆田系医院的免费WiFi收集患者的mac地址与手机号,甚至患者的图像、性别、职业等信息,用于最大限度收取费用。
2.学习中遇到的问题及解决
- 问题1:SQL注入过程
- 问题1解决方案:搜索引擎搜索,找到相关教程,
javascript:alert(document.cookie="id="+escape("x"))是用来初步判断是否可以进行SQL注入的,然后测试网站在使用request对象获取数据时是否是直接使用request("xx")的方式,之后再测试是否可以提交特殊字符进行注入。 - 问题2:震网病毒入侵方式
- 问题2解决方案:搜索引擎搜索,找到震网病毒突破物理隔离的手段是潜伏在移动存储介质(U盘)中,在连接到目标机器时进行复制注入,侵入目标计算机从而发起攻击。
3.本次讲座的学习感悟、思考等
本次的讲座向我们介绍了web安全中一些需要关注和防范的漏洞问题,web安全不光包括网络中系统的安全,也包括应用安全。攻防双方的不对等问题很突出,攻击成本低廉,防御成本却很高,因此要尽可能地对系统中的漏洞进行打补丁,也要设置一套备份机制,在遭受攻击之后可以不影响正常的运作,并及时解决问题。
4.XSS跨站脚本攻击最新研究现状
论文1:A Google Chromium Browser Extension for Detecting XSS Attack in HTML5 Based Websites
会议名称:2018年IEEE电子/信息技术国际会议(EIT)
作者信息:
Arun Prasath Sivanesan
Department of Electrical Engineering and Computer Science, University of Toledo, Toledo, OH, USA
Akshay Mathur
Department of Electrical Engineering and Computer Science, University of Toledo, Toledo, OH, USA
Ahmad Y Javaid
Department of Electrical Engineering and Computer Science, University of Toledo, Toledo, OH, USA
研究进展:
HTML5的出现使得网络中跨站点脚本攻击(XSS)得到了扩大发展。跨文档消息传递、本地存储、属性滥用、输入验证、内联多媒体和SVG都可能成为严重威胁的可能目标。XSS攻击在2017年OWASP的TOP10中排名第七。XSS在受害者的浏览器中执行脚本,可以劫持用户会话,破坏网站或将用户重定向到恶意网站。该论文为常用的Google Chromium浏览器开发了可以跟踪各种攻击媒介的浏览器扩展插件,这些媒介主要包括可能被恶意使用的HTML 5的标签和属性,只要在用户访问特定网站时发现XSS攻击的可能性,插件就会向用户发出警报。
论文2:Advanced Approach on XSSDS Technique
会议名称:2018年第21届沙特计算机学会全国计算机大会(NCC)
作者信息:
Sara Tuza
Department of Information Security, Naif Arab University for Security Science, Riyadh, Saudi Arabia
Shatha Alarabi
Department of Information Security, Naif Arab University for Security Science, Riyadh, Saudi Arabia
Sara Alamri
Department of Information Security, Naif Arab University for Security Science, Riyadh, Saudi Arabia
Dr. Nisreen Innab
Department of Information Security, Naif Arab University for Security Science, Riyadh, Saudi Arabia
研究进展:
为了开发Web应用程序,开发人员需要使用不同的技术,最常见的是HTML,XHTML和JavaScript。这些技术中的漏洞会使Web应用程序遭受许多安全攻击。最重要和最常见的是跨站点脚本(XSS)攻击,可以定义为代码注入攻击,这种攻击允许攻击者在另一个用户的浏览器中执行恶意脚本。一旦攻击者获得控制权,他就可以通过在网页中嵌入脚本来执行诸如会话劫持,恶意软件传播,cookie窃取和恶意重定向等操作。论文探讨了不同类型的XSS攻击及其对服务器端和客户端的影响。之后,选择三种服务器端检测技术,解决每种技术的工作原理以及每种技术的主要缺点,然后对其中名为XSSDS的技术提供一种可以弥补其缺点,增强安全性的高级方法。
会议名称: 2018年第四届电气,电子,信息,通信和生物信息学进展国际会议(AEEICB)
作者信息:
Syed Nisar Bukhari
NIELIT Srinagar, J&K, India
Muneer Ahmad Dar
NIELIT Srinagar, J&K, India
Ummer Iqbal
NIELIT Srinagar, J&K, India
研究进展:
本论文重点讨论XSS攻击的第一种类型,“非持久性跨站点脚本”。对于非持久性跨站点脚本,恶意代码或脚本嵌入到Web请求中,然后由Web服务器部分或全部回显,而不在Web响应中进行编码或验证。然后,恶意代码或脚本在客户端的Web浏览器中执行,这可能会导致会话数据被盗,以及cookie中的敏感数据被获取。为了使此类跨站点脚本成功,恶意用户必须强制用户单击触发非持久跨站点脚本攻击的链接。本论文讨论和阐述了如何使用安全开发生命周期实践和技术减少与非持久性跨站点脚本XSS攻击相关的攻击面。
论文4:Defense Against HTML5 XSS Attack Vectors: A Nested Context-Aware Sanitization Technique
会议名称:2018年第8届云计算,数据科学与工程国际会议(Confluence)
作者信息:
Gurpreet Kaur
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India
Bhavika Pande
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India
Ayushi Bhardwaj
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India
Gargi Bhagat
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India
Shashank Gupta
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India
研究进展:
作者提出了一种基于嵌套上下文感知的清理方法的离线和在线模型,用于检测和减轻OSN的恶意XSS攻击向量,以离线模式从网页中提取JS,计算特征并将其存储在存储库中,以备进一步使用。在线方法实现了对URI链路的提取和特征估计,并与离线模式特征库进行了比较,实现了异常检测。作者在Javascript中开发了功能,并将其基础设施设置作为浏览器基础设施设置的扩展实现。论文提出的设计是在五个易受XSS攻击的OSN平台上实现和测试的,与最新技术相比,估计的结果具有识别XSS蠕虫的能力,并且误报率较低,是可接受的。
会议名称:2018年第五届系统与信息学国际会议(ICSAI)
作者信息:
陈平
解放军陆军工程大学网络空间安全部,南京210007
韩雨
解放军陆军工程大学网络空间安全部,南京210007
赵敏
解放军陆军工程大学网络空间安全部,南京210007
王金双
解放军陆军工程大学网络空间安全部,南京210007
研究进展:
跨站点脚本(XSS)攻击的根本原因是,javascript引擎无法区分Web应用程序中的javascript代码和攻击者注入的javascript代码。移动目标防御(MTD)是一种新技术,其目的是通过频繁改变系统配置,使攻击者无法捕获系统的状态,从而击败攻击。本论文介绍了一种基于移动目标防御技术的XSS防御方法的设计与实现。该方法在web应用程序中的每个不安全元素中添加一个随机属性,以区分web应用程序中的javascript代码和攻击者注入的javascript代码,并使用安全检查功能来验证随机属性,如果HTML中没有随机属性或随机属性值不正确(hypertext markup language)元素,将阻止javascript代码的执行。实验结果表明,该方法能有效地防止XSS攻击,且对系统性能影响不大。
参考资料
- cookie注入原理详解(一)
- 震网病毒
- A Google Chromium Browser Extension for Detecting XSS Attack in HTML5 Based Websites
- Advanced Approach on XSSDS Technique
- Reducing attack surface corresponding to Type 1 cross-site scripting attacks using secure development life cycle practices
- Defense Against HTML5 XSS Attack Vectors: A Nested Context-Aware Sanitization Technique
- Research and Implementation of Cross-site Scripting Defense Method Based on Moving Target Defense Technology