admin 管理员组文章数量: 1087139
2024年3月21日发(作者:怎样在电脑浏览器上打开jsp)
COMPUTER
SECURITY
学术.技术
Web前端的安全防护漫谈
王 广
(广东电网公司云浮供电局,广东 云浮 527300)
摘 要:Web应用普及的同时,也导致了Web面临了越来越严重的安全威胁。近年来各大网站频繁受到攻击,其中很多
攻击针对以前比较薄弱的Web前端。Web前端的安全防护具有自身的独特性,并已经成为Web应用安全的一个重要分支。
首先研究了Web前端安全隐患产生的根源以及面临的主要威胁,并介绍了一些web前端攻击方式的原理。在分析和比
较的基础上,针对当前主流的攻击提出一些安全防护的解决方法。
关键词:Web前端;信息安全;Web防护
Web front-end Security Protection Discussion
WANG Guang
(Guangdong Power Grid Corporation, Yunfu Power Supply Bureau,Yunfu,Guangdong 527300,China)
Abstract:With the rapid spread ofweb application services, the threats to the web application are very seriousat the same time.
Recent years many famous Internetwebsite was be attacked, and most of them focused on the weak protection of web front-end.
Web front-end protection has some special characteristic itself, and has been a important branch of web application security. This article
introduced some root causes and major threats for web front-end security, and then investigates some principles of web front-end
63
attack. Based on the analysis and comparison, itproposed somesecurity protection methods for the popular attacks.
Key words:Web front-end; Information Security; Web protection;
0 引言
国家互联网应急中心发布的被篡改网站数据让很
多人触目惊心,近年来各种Web网站攻击事件频频
发生,网站SQL注入,网页被篡改、信息失窃、甚至
被利用成传播木马的载体⋯⋯Web安全形势日益严峻,
越来越受到人们的关注,其中Web前端的安全是众
多安全防护工作中的一个重要分支。网站的安全防护
是非常复杂繁琐的工作,是伴随着Web技术的改变
而逐渐转移,从初始的服务端安全,如缓冲区溢出、
CGI解析缺陷、纯Web层面的SQL注入等,到客户端
的安全,如XSS跨站脚本、CSRF跨站请求伪造等。
此后,HTML5又大行其道,互联网上的应用越来越复
杂,Web前端效果也逐步丰富和提高,但其中却隐藏
了更多的安全隐患。
1 Web前端安全分析
Web网站的体系架构一般分为三层,底层是操作
系统,中间层是Web服务程序、数据库服务等通用
组件,上层是内容和业务相关的网页程序,Web前端
主要指的是前端内容页面的展现层。这三层架构中任
何一层出现了安全问题都会导致整个Web网站受到
威胁,而Web前端对于整个网站的安全尤为重要。
Web前端的安全问题主要由三个方面引起的,它
们分别是JavaScript,样式文件CSS和ActionScript。
在Web前端的安全中, JavaScript几乎控制了所有前
端的逻辑,通过对JavaScript可以完成各类操作,例
如DOM树操作,获取浏览器的Cookie数据和URL地
址中的数据等。其中AJAX是前端攻击中必备的攻击
模式,即异步的JavaScript与XML,他的核心有三点:
2013.02
COMPUTER
SECURITY
学术.技术
异步、JavaScript、XML。层叠样式表CSS,主要用来
控制网页的呈现样式,包括颜色、字体、大小、高亮、
透明、布局等,通过灵活的应用,攻击者可以伪装出
期望的网页效果,从而进行钓鱼攻击等操作,并且
有些特性带来更危险的攻击和信息泄露。ActionScript
是由Flash的脚本虚拟机执行,并运行在Flash Player
中,但Flash有两种运行环境分别为浏览器和操作系
统本地,如果ActionScript突破了Flash的安全沙箱限
制,就可以进行多种危险的操作。ActionScript攻击
有自己独特的特点,往往比JavaScript更难以察觉到。
下面我们具体介绍和分析几种主流的网络前端攻击方
式。
XSS是我们想到的最主要的前端攻击方式,它的
全称为Cross Site Scripting, 即跨站脚本。在OWASP
TOP10 (Open Web Application Security Project的缩
写,开放式Web应用程序安全项目)的排行中, XSS
一直是名列前茅的,2007年排行榜第一,2010年则
到了第二。XSS漏洞非常广泛,不过不是所有的XSS
漏洞都有危害或利用价值。它是发生在目标网站中目
标用户的浏览器层面上的,当用户浏览器解析整个
HTML文章的过程中出现了不被预期的脚本指令并执
行时,XSS攻击就会发生。
CSRF是跨站请求伪造,刚接触它往往把这个概
念和XSS混淆。一般来说,攻击都是由用户的各类
请求造成的,对于CSRF来说,它的请求有两个关
键点:跨站请求和请求是的伪造。按攻击方式来说,
CSRF可以分为:HTML CSRF攻击、JSON HiJacking攻
击、和Flash CSRF攻击等。
界面操作劫持攻击是另外一类典型的Web前
端攻击方式,是近几年来Web安全领域发展起来
的一种新型攻击方式,其影响非常广泛,Twitter、
Facebook等国际知名网站都先后受到过这种攻击。它
是一种基于视觉欺骗的Web会话劫持攻击,它通过
在网页的可见输入控件上覆盖一个不可见的框,使得
用户误认为是操作可见控件,而实际上用户的操作被
不可见的框所劫持,并执行其中的恶意代码,导致用
户的敏感信息泄露或是数据被篡改。
其他一些常见Web前端攻击方式和危害见表1。
表1 Web前端攻击方式及危害
3 Web前端防御
Web前端的防护方法没有统一的、普遍使用的、
一成不变的方法。各个网站需要根据自己的业务进行
64
详细的评估,并结合各种安全防护技巧,构建出适合
自身的安全架构方案,一般来说可以从以下几个方面
来进行考虑。
3.1 关于JavaScript的安全防御
在进行网站的程序编码时,应从安全角度来考
虑,严格遵守相关的安全标准和规范,防止在代码中
出现严重的安全漏洞。在使用JavaScript时,应该遵
循以下安全标准。
(1)禁止发送页面相关信息到第三方站点;
(20如果JSON返回的信息里含有用户的私密信
息,需要加_tb_token_;
(3)禁止使用script标签来达到跨域访问的目的,
应当使用flash实现跨域访问,而可信域之间的跨域
可以使用iframe;
(4)所有使用的数据必须经过服务端的验证;
(5)js代码需要经过jslint的测试。
2013.02
COMPUTER
SECURITY
学术.技术
3.2 XSS和CSRF防护
对于XSS防护来说,我们一般假设所有的输入
都是有害的,那么在服务器端,一般要进行输入校验
和输出编码。输入校验主要是长度限制、值类型是否
正确、是否包含特殊字符等,如果数据检测为无害的
就准许数据通过。输出编码则是根据输出的位置进行
HTML编码、Javascript编码、URL编码等。
CSRF的防护相对简单一些,主要原因是这类攻
击以前很少被重视,代码参差不齐,总存在防御缺
口,我们可以采用以下几方式:检测HTTP Referer字
段、限制Session Cookie生命周期、使用验证码、使
用一次性token。
的攻击。
3.4 专业Web防护设备
一般Web应用防火墙的具有以下四个方面的功
能。一是网络审计,用来截获所有HTTP数据或者仅
仅满足某些规则的会话。二是访问控制, 主要用来控
制对Web应用的访问,既包括主动安全模式也包括
被动安全模式。三是可以作为网络架构的设计工具,
当运行在反向代理模式,被用来分配职能,集中控制,
虚拟基础结构等。最后,它可以进行Web应用加固,
能增强被保护Web应用的安全性,它不仅能够屏蔽
Web应用固有弱点,而且能够保护Web应用编程错
误导致的安全隐患。
3.3 安全浏览器和相关插件
作为终端用户,我们首先强调要有很好的防范
4 结束语
通过前面的分析,要提高网站前端的安全性,一
方面要尽量减少网站自身安全漏洞,如通过及时给网
站进行补丁更新,或通过网页代码检视来减少网页漏
洞。还需要通过大量的分析、评估、综合运用安全防
护技术和方法,并在实践中不断完善和加强,最终让
我们的Web服务更好、更安全。
65
意识,可能对以上技术概念和方法不是很了解,我
们可以通过一些工具来实现安全防护。NoScript插件
是Firefox浏览器上的一个插件,它是Web前端安全
专家Giorgio Maone和其他几位资深web安全工程师
共同努力完成的。可以全面防御DOM与反射性XSS,
ClickJacking等攻击。并可以为高级用户定制自己个
性化的安全规则,明确网站的边界,防止跨站类脚本
《黑客达人迷(第3版)》
作 者:[美] Kevin Beaver
出 版 社:人民邮电出版社
出版时间:2013-01
I S B N:978-7-115-29348-0
内容简介:
《黑客达人迷(第3版)》以别具
一格的视角、幽默生动的语言详尽地
介绍了道德黑客攻击的全过程,旨在
帮助读者在网络安全战争中知己知彼,百战不殆。《黑客达人
迷(第3版)》以道德黑客攻击计划为主线,系统
讲述了常见黑客攻击方法及防御对策,并辅之以
知名信息安全专家的安全测试案例,结构清晰,
内容全面,是企业和个人进行计算机系统安全测
试与评估的参考指南。
作为“达人迷”系列书之一,《黑客达人迷(第
3版)》不仅适用于对计算机系统测试评估和IT
安全感兴趣的初学者,而且对于网络管理员、信
息安全经理、信息安全顾问、安全审计人员等专
业人士也具有很大的参考价值。
2013.02
Web前端的安全防护漫谈
作者:
作者单位:
刊名:
英文刊名:
年,卷(期):
王广
广东电网公司云浮供电局,广东 云浮 527300
计算机安全
Network and Computer Security
2013(2)
引用本文格式:王广
Web前端的安全防护漫谈[期刊论文]
-
计算机安全 2013(2)
版权声明:本文标题:Web前端的安全防护漫谈 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/b/1710965897a581804.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论