码迷,mamicode.com
首页 > Web开发 > 详细

web安全

时间:2014-08-29 10:42:47      阅读:258      评论:0      收藏:0      [点我收藏+]

标签:os   java   数据   代码   html   on   ad   javascript   c   


Chapter2浏览器安全

2.1同源策略
浏览器的同源策略,限制了来自不同源的“documuent”或脚本,对当前“documuent”读取或设置属性。

影响“源”的因素有:host(域名或ip,ip看作根域名),子域名,端口,协议

2.2浏览器沙箱
挂马:在网页中插入恶意代码,利用浏览器漏洞执行任意代码。

多进程架构提高d了安全性。Chrome的主要进程:浏览器进程,渲染进程,插件进程,扩展进程。

sandbox泛指“资源隔离类模块”。Chrome实现了相对完整的sandbox。

第三方插件不受sandbox管辖。

2.3恶意网址拦截
恶意网址分为两类:
a.挂马网站:包含恶意脚本执行JavaScript或Flash,利用浏览器漏洞执行shellcode,在用户电脑中植入木马。
b.钓鱼网站:模仿知名网站的相似页面来欺骗用户。

挂马通常通过在正常网页中加入<script>或者<iframe>等标签加载恶意网址。另外,钓鱼网站和欺诈网站也算恶意网址。

目前浏览器恶意网址拦截都是基于 黑名单 的。

除了黑名单拦截功能,主流浏览器开始支持EV SSL证书(extended valid ssl certificate),以增强对安全网站的识别。


2.4高速发展的浏览器安全
IE8: XSS Filter
Firefox: Content Security Policy


Chapter3 跨站脚本攻击XSS(Cross Site Script)

3.1 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入恶意脚本,从而在用户浏览网页时控制浏览器。

XSS根据效果不同分为:
a.反射型XSS
把用户输入的数据“反射”给浏览器。非持久型XSS。
b.存储型XSS
把用户数据存储在服务器端。持久型XSS。
c.DOM Based XSS
通过修改页面的DOM节点形成的XSS。效果上也是反射型。

3.2 XSS攻击进阶
XSS Payload

web安全

标签:os   java   数据   代码   html   on   ad   javascript   c   

原文地址:http://www.cnblogs.com/larrylawrence/p/3944215.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!