20189215 2018-2019-2 《密碼與安全新技術專題》第1周做業

課程：《密碼與安全新技術專題》
班級： 1892班
姓名： 李煬
學號：20189215
上課教師：謝四江
上課日期：2019年2月26日
必修/選修： 選修

1.本次講座的學習總結

講座主題：web安全和內容安全

---

• web安全在狹義上能夠叫作應用安全，指一個具體的網絡應用的安全。
• 震網病毒說明了物理隔離不是100%有效的。
• 大數據時代，出現了GPT上帝模式攻擊，這種攻擊基於全球全網大數據能力。
• 攻擊方式的改變：可探測 → 可訪問 → 可掌控。
• 常見的web漏洞
  ①SQL注入
  SQL注入的本質是因爲對輸入檢查不充分，致使SQL語句將用戶提交的非法數據看成語句的一部分來執行。
  按提交字符類型可分爲：數字型、字符型、搜索型。
  按注入方式可分爲：盲注、union注入、報錯注入。
  按HTTP提交方式可分爲：GET、POST、Cookie。
  javascript:alert(document.cookie="id="+escape("x"))
  document.cookie:表示當前瀏覽器中的cookie變量
  alert（）:表示彈出一個對話框，在該對話框中單擊「肯定」按鈕確認信息。
  escape():該函數用於對字符串進行編碼。
  
  ②XSS跨站腳本攻擊
  惡意攻擊者往Web頁面裏插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web裏面的html代碼會被執行，從而達到惡意攻擊用戶的特殊目的。
  分爲反射型XSS(非持久型 XSS)和存儲型XSS(持久型 XSS 漏洞)。
  ③CSRF跨站請求僞造
  跨站請求僞造(Cross-site request forgery)是一種挾制用戶在當前已登陸的Web應用程序上執行非本意的操做的攻擊方法。跟跨網站腳本（XSS）相比，XSS利用的是用戶對指定網站的信任，CSRF 利用的是網站對用戶網頁瀏覽器的信任。攻擊的實施過程是攻擊者經過一些技術手段欺騙用戶的瀏覽器去訪問一個本身曾經認證過的網站並運行一些操做（如發郵件，發消息，甚至財產操做如轉帳和購買商品）。因爲瀏覽器曾經認證過，因此被訪問的網站會認爲是真正的用戶操做而去運行。這利用了web中用戶身份驗證的一個漏洞：簡單的身份驗證只能保證請求發自某個用戶的瀏覽器，卻不能保證請求自己是用戶自願發出的。
  ④驗證不充分之上傳漏洞
  對文件名、後綴名、文件的路徑沒有檢測，致使能夠執行惡意代碼。
  ⑤弱口令
  ⑥社會工程學
• 隱私安全之位置軌跡信息
  戶外運動健身追蹤應用Strava、百度「黃金眼」項目等能夠從用戶的移動上網設備收集到用戶的軌跡信息，前者可能泄露出一些敏感部位的位置與信息；後者經過莆田系醫院的免費WiFi收集患者的mac地址與手機號，甚至患者的圖像、性別、職業等信息，用於最大限度收取費用。

2.學習中遇到的問題及解決

• 問題1：SQL注入過程
• 問題1解決方案：搜索引擎搜索，找到相關教程，javascript:alert(document.cookie="id="+escape("x"))是用來初步判斷是否能夠進行SQL注入的，而後測試網站在使用request對象獲取數據時是不是直接使用request("xx")的方式，以後再測試是否能夠提交特殊字符進行注入。
• 問題2：震網病毒入侵方式
• 問題2解決方案：搜索引擎搜索，找到震網病毒突破物理隔離的手段是潛伏在移動存儲介質(U盤)中，在鏈接到目標機器時進行復制注入，侵入目標計算機從而發起攻擊。

3.本次講座的學習感悟、思考等

本次的講座向咱們介紹了web安全中一些須要關注和防範的漏洞問題，web安全不光包括網絡中系統的安全，也包括應用安全。攻防雙方的不對等問題很突出，攻擊成本低廉，防護成本卻很高，所以要儘量地對系統中的漏洞進行打補丁，也要設置一套備份機制，在遭受攻擊以後能夠不影響正常的運做，並及時解決問題。

4.XSS跨站腳本攻擊最新研究現狀

論文1：A Google Chromium Browser Extension for Detecting XSS Attack in HTML5 Based Websites

會議名稱：2018年IEEE電子/信息技術國際會議（EIT）
做者信息：
Arun Prasath Sivanesan
Department of Electrical Engineering and Computer Science, University of Toledo, Toledo, OH, USA
Akshay Mathur
Department of Electrical Engineering and Computer Science, University of Toledo, Toledo, OH, USA
Ahmad Y Javaid
Department of Electrical Engineering and Computer Science, University of Toledo, Toledo, OH, USA

研究進展：
HTML5的出現使得網絡中跨站點腳本攻擊(XSS)獲得了擴大發展。跨文檔消息傳遞、本地存儲、屬性濫用、輸入驗證、內聯多媒體和SVG均可能成爲嚴重威脅的可能目標。XSS攻擊在2017年OWASP的TOP10中排名第七。XSS在受害者的瀏覽器中執行腳本，能夠劫持用戶會話，破壞網站或將用戶重定向到惡意網站。該論文爲經常使用的Google Chromium瀏覽器開發了能夠跟蹤各類攻擊媒介的瀏覽器擴展插件，這些媒介主要包括可能被惡意使用的HTML 5的標籤和屬性，只要在用戶訪問特定網站時發現XSS攻擊的可能性，插件就會向用戶發出警報。

論文2：Advanced Approach on XSSDS Technique

會議名稱：2018年第21屆沙特計算機學會全國計算機大會（NCC）
做者信息：
Sara Tuza
Department of Information Security, Naif Arab University for Security Science, Riyadh, Saudi Arabia
Shatha Alarabi
Department of Information Security, Naif Arab University for Security Science, Riyadh, Saudi Arabia
Sara Alamri
Department of Information Security, Naif Arab University for Security Science, Riyadh, Saudi Arabia
Dr. Nisreen Innab
Department of Information Security, Naif Arab University for Security Science, Riyadh, Saudi Arabia

研究進展：
爲了開發Web應用程序，開發人員須要使用不一樣的技術，最多見的是HTML，XHTML和JavaScript。這些技術中的漏洞會使Web應用程序遭受許多安全攻擊。最重要和最多見的是跨站點腳本（XSS）攻擊，能夠定義爲代碼注入攻擊，這種攻擊容許攻擊者在另外一個用戶的瀏覽器中執行惡意腳本。一旦攻擊者得到控制權，他就能夠經過在網頁中嵌入腳原本執行諸如會話劫持，惡意軟件傳播，cookie竊取和惡意重定向等操做。論文探討了不一樣類型的XSS攻擊及其對服務器端和客戶端的影響。以後，選擇三種服務器端檢測技術，解決每種技術的工做原理以及每種技術的主要缺點，而後對其中名爲XSSDS的技術提供一種能夠彌補其缺點，加強安全性的高級方法。

論文3：Reducing attack surface corresponding to Type 1 cross-site scripting attacks using secure development life cycle practices

會議名稱： 2018年第四屆電氣，電子，信息，通訊和生物信息學進展國際會議（AEEICB）
做者信息：
Syed Nisar Bukhari
NIELIT Srinagar, J&K, India
Muneer Ahmad Dar
NIELIT Srinagar, J&K, India
Ummer Iqbal
NIELIT Srinagar, J&K, India

研究進展：
本論文重點討論XSS攻擊的第一種類型，「非持久性跨站點腳本」。對於非持久性跨站點腳本，惡意代碼或腳本嵌入到Web請求中，而後由Web服務器部分或所有回顯，而不在Web響應中進行編碼或驗證。而後，惡意代碼或腳本在客戶端的Web瀏覽器中執行，這可能會致使會話數據被盜，以及cookie中的敏感數據被獲取。爲了使此類跨站點腳本成功，惡意用戶必須強制用戶單擊觸發非持久跨站點腳本攻擊的連接。本論文討論和闡述瞭如何使用安全開發生命週期實踐和技術減小與非持久性跨站點腳本XSS攻擊相關的攻擊面。

論文4：Defense Against HTML5 XSS Attack Vectors: A Nested Context-Aware Sanitization Technique

會議名稱：2018年第8屆雲計算，數據科學與工程國際會議（Confluence）
做者信息：
Gurpreet Kaur
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India
Bhavika Pande
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India
Ayushi Bhardwaj
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India
Gargi Bhagat
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India
Shashank Gupta
Birla Institute of Technology and Science, Department of Computer Science and Information Systems, Pilani, Rajasthan, India

研究進展：
做者提出了一種基於嵌套上下文感知的清理方法的離線和在線模型，用於檢測和減輕OSN的惡意XSS攻擊向量，以離線模式從網頁中提取JS，計算特徵並將其存儲在存儲庫中，以備進一步使用。在線方法實現了對URI鏈路的提取和特徵估計，並與離線模式特徵庫進行了比較，實現了異常檢測。做者在Javascript中開發了功能，並將其基礎設施設置做爲瀏覽器基礎設施設置的擴展實現。論文提出的設計是在五個易受XSS攻擊的OSN平臺上實現和測試的，與最新技術相比，估計的結果具備識別XSS蠕蟲的能力，而且誤報率較低，是可接受的。

論文5：Research and Implementation of Cross-site Scripting Defense Method Based on Moving Target Defense Technology

會議名稱：2018年第五屆系統與信息學國際會議（ICSAI）
做者信息：
陳平
解放軍陸軍工程大學網絡空間安所有，南京210007
韓雨
解放軍陸軍工程大學網絡空間安所有，南京210007
趙敏
解放軍陸軍工程大學網絡空間安所有，南京210007
王金雙
解放軍陸軍工程大學網絡空間安所有，南京210007

研究進展：
跨站點腳本(XSS)攻擊的根本緣由是，javascript引擎沒法區分Web應用程序中的javascript代碼和攻擊者注入的javascript代碼。移動目標防護（MTD）是一種新技術，其目的是經過頻繁改變系統配置，使攻擊者沒法捕獲系統的狀態，從而擊敗攻擊。本論文介紹了一種基於移動目標防護技術的XSS防護方法的設計與實現。該方法在web應用程序中的每一個不安全元素中添加一個隨機屬性，以區分web應用程序中的javascript代碼和攻擊者注入的javascript代碼，並使用安全檢查功能來驗證隨機屬性，若是HTML中沒有隨機屬性或隨機屬性值不正確（hypertext markup language）元素，將阻止javascript代碼的執行。實驗結果代表，該方法能有效地防止XSS攻擊，且對系統性能影響不大。

參考資料

• cookie注入原理詳解（一）
• 震網病毒
• A Google Chromium Browser Extension for Detecting XSS Attack in HTML5 Based Websites
• Advanced Approach on XSSDS Technique
• Reducing attack surface corresponding to Type 1 cross-site scripting attacks using secure development life cycle practices
• Defense Against HTML5 XSS Attack Vectors: A Nested Context-Aware Sanitization Technique
• Research and Implementation of Cross-site Scripting Defense Method Based on Moving Target Defense Technology