XSS攻击与企业级的解决方案.pptx

1、XSS攻击与企业级的解决方案0Kee TeamXSS Cross-Site Scripting 控制你的浏览器XSSXSSWeb服务器1.插入XSS代码2.访问受害者攻击者3.控制浏览器XSS 网站内的JS能做什么 权限 执行 命令 读取 文件 But，攻击花样多，覆盖面广XSS利用利用-获取获取CookieXSS攻击页面CookieXSS利用利用-攻击邮箱攻击邮箱XSS攻击邮箱 QQ、网易等邮箱都曾被XSS GMail的XSS黑市售价高昂XSS利用利用-攻击邮箱攻击邮箱XSS利用利用-结合结合CSRF?XSSCSRFXSS利用利用-蠕虫蠕虫XSSCSRF蠕虫XSS利用利用-蠕虫蠕虫 新浪微博

2、蠕虫XSS利用利用-GetShellXSSCSRFGetShellXSS利用利用-GetShellXSS利用利用-攻击内网攻击内网 XSS攻击内网获取内网IP扫描存活主机扫描主机端口识别应用指纹内网漏洞利用XSS利用利用-攻击内网攻击内网XSS利用利用-钓鱼钓鱼XSS利用利用 XSS可以用来做什么普通用户客户端攻击Cookies、隐私数据、IP、日志、相片、邮件、CSRF浏览器特权域、插件、APP、Webview蠕虫攻击水坑攻击键盘记录Rootkit钓鱼、劫持Cookies、Localstorage内网渗透端口扫描、ST2利用、路由器管理员后台地址、页面源码、管理员信息、CSRFPage 19

3、XSS防御防御XSS防御防御方案优势劣势场景XSS防御防御方案优势劣势场景必须安全编程WAF根本解决通用性好容易遗漏；第三方不可控易绕过；安全能力跟不上业务发展不适用于所有类型；成本高XSS防御防御方案优势劣势场景必须安全编程WAF根本解决通用性好容易遗漏；第三方不可控易绕过；安全能力跟不上业务发展具有身仹认证的网站不适用于所有类型；成本高Http-Only保护cookie只能保护CookieXSS防御防御方案优势劣势场景必须安全编程WAF根本解决通用性好容易遗漏；第三方不可控易绕过；安全能力跟不上业务发展具有身仹认证的网站不适用于所有类型；成本高Http-OnlyCSP保护cookie只能保

4、护Cookie有效拦截配置不方便；部署不方便；高误报设计之初最佳;网站结构清晰XSS防御防御方案优势劣势场景必须安全编程WAF根本解决通用性好容易遗漏；第三方不可控易绕过；安全能力跟不上业务发展具有身仹认证的网站不适用于所有类型；成本高Http-OnlyCSP保护cookie只能保护Cookie有效拦截配置不方便；部署不方便；高误报设计之初最佳;网站结构清晰？配置方便；部署方便；低误报？仸何网站前端主动防御方案前端主动防御方案-护心镜护心镜 护心镜是JavaScript=以js对抗js 监控页面=实时阻断幵告警护心镜护心镜8大功能大功能防御未知脚本加载Http-Only盗取Cookie模拟护心

5、镜XSS平台钓鱼WebShell密码窃取上传XSS测试技术实现技术实现技术实现：事件与告警技术实现：事件与告警反卸载技术的对抗反卸载技术的对抗-保护自己保护自己 自身变量安全：闭包 保护全局变量：护心镜所调用的全局变量 保证护心镜所使用的变量、凼数、对象不被外部保证护心镜所使用的变量、凼数、对象不被外部js篡改。篡改。护心镜护心镜-实例实例护心镜护心镜-平台平台护心镜护心镜-实践实践内部外部200余后台500次攻击2000余网10000次站攻击XSS防御总结防御总结方案优势劣势场景安全编程Http-OnlyWAF根本解决保护cookie通用性好容易遗漏；必须第三方不可控只能保护Cookie具有身仹认证的网站安全能力跟不上业务发展易绕过；不适用于所有类型；成本高CSP有效拦截配置不方便；部署不方便；高误报设计之初最佳;网站结构清晰护心镜配置方便；部署方便；低误报兼容性仸何网站