标签:os java 数据 代码 html on ad javascript c
Chapter2浏览器安全
2.1同源策略
浏览器的同源策略,限制了来自不同源的“documuent”或脚本,对当前“documuent”读取或设置属性。
影响“源”的因素有:host(域名或ip,ip看作根域名),子域名,端口,协议
2.2浏览器沙箱
挂马:在网页中插入恶意代码,利用浏览器漏洞执行任意代码。
多进程架构提高d了安全性。Chrome的主要进程:浏览器进程,渲染进程,插件进程,扩展进程。
sandbox泛指“资源隔离类模块”。Chrome实现了相对完整的sandbox。
第三方插件不受sandbox管辖。
2.3恶意网址拦截
恶意网址分为两类:
a.挂马网站:包含恶意脚本执行JavaScript或Flash,利用浏览器漏洞执行shellcode,在用户电脑中植入木马。
b.钓鱼网站:模仿知名网站的相似页面来欺骗用户。
挂马通常通过在正常网页中加入<script>或者<iframe>等标签加载恶意网址。另外,钓鱼网站和欺诈网站也算恶意网址。
目前浏览器恶意网址拦截都是基于 黑名单 的。
除了黑名单拦截功能,主流浏览器开始支持EV SSL证书(extended valid ssl certificate),以增强对安全网站的识别。
2.4高速发展的浏览器安全
IE8: XSS Filter
Firefox: Content Security Policy
Chapter3 跨站脚本攻击XSS(Cross Site Script)
3.1 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入恶意脚本,从而在用户浏览网页时控制浏览器。
XSS根据效果不同分为:
a.反射型XSS
把用户输入的数据“反射”给浏览器。非持久型XSS。
b.存储型XSS
把用户数据存储在服务器端。持久型XSS。
c.DOM Based XSS
通过修改页面的DOM节点形成的XSS。效果上也是反射型。
3.2 XSS攻击进阶
XSS Payload
标签:os java 数据 代码 html on ad javascript c
原文地址:http://www.cnblogs.com/larrylawrence/p/3944215.html