三个安全相关的小笔记
1. DNS Rebinding 的防范有三种方法(来自 wikipedia):
- 将 IP 地址固定于首个 DNS 解析请求。
- 在内网 DNS 服务器中,避免将外网地址解析到内网 IP。
- 对来源请求的 Host 字段进行验证。
其中最后一种是程序中要实现的。重新提起 DNS Rebinding 的原因是,ha.ckers.org 最近提及了通过 DNS Rebinding 实现 Session Fixation。怎么说这一层简单的验证,做了比没有做要好。
2. sla.ckers.org 上面则是有一篇东西,使用 XSS 去绕过 CSRF 的保护。思路很简单,假设 CSRF 的防护是通过 token 实现,而请求模式是 GET,那么通过 XSS —— iframe 读入页面,然后 JS 找出 token 再伪做链接。防御 CSRF 的最好办法,还是将请求模式从 GET 改为 POST 并且做双重验证,当然需要耗费的资源相对增加了,这里只是说明了,简单加一个 token 只是权宜之计。
3. Clickjacking Protection。owasp.org 上列出了两个方案:x-frame-options 响应头和一段用于自动跳出的 iframe 的 JS。前者由 MSIE 引入,有 allow,deny,sameorigin 三种值。这里权作笔记和回忆。
--
Twitter: http://www.twitter.com/leechael
- 将 IP 地址固定于首个 DNS 解析请求。
- 在内网 DNS 服务器中,避免将外网地址解析到内网 IP。
- 对来源请求的 Host 字段进行验证。
其中最后一种是程序中要实现的。重新提起 DNS Rebinding 的原因是,ha.ckers.org 最近提及了通过 DNS Rebinding 实现 Session Fixation。怎么说这一层简单的验证,做了比没有做要好。
2. sla.ckers.org 上面则是有一篇东西,使用 XSS 去绕过 CSRF 的保护。思路很简单,假设 CSRF 的防护是通过 token 实现,而请求模式是 GET,那么通过 XSS —— iframe 读入页面,然后 JS 找出 token 再伪做链接。防御 CSRF 的最好办法,还是将请求模式从 GET 改为 POST 并且做双重验证,当然需要耗费的资源相对增加了,这里只是说明了,简单加一个 token 只是权宜之计。
3. Clickjacking Protection。owasp.org 上列出了两个方案:x-frame-options 响应头和一段用于自动跳出的 iframe 的 JS。前者由 MSIE 引入,有 allow,deny,sameorigin 三种值。这里权作笔记和回忆。
--
Twitter: http://www.twitter.com/leechael
标签: clickjacking, csrf, dns_rebinding, security, xss
发贴者:Leechael 时间
01:10
0 条评论:
发表评论
订阅 博文评论 [Atom]
<< 主页