开发学院网络安全安全技术 IE8与点击绑架和CSRF的攻防战 阅读

IE8与点击绑架和CSRF的攻防战

 2009-02-11 13:52:42 来源:WEB开发网   
核心提示:那么,IE8能否为我们的Web安全带来一缕清风吗?一、Web安全形势日益严峻据微软称,IE8与点击绑架和CSRF的攻防战,IE8在开发过程中就考虑到了已有的和正在浮现的各种Web威胁,在各种Web应用程序安全性漏洞中,点击劫持可以使用户在不知不觉中单击一个模糊的或者隐藏的web元素,从 而导致非本意的处理,最阴险的漏洞

那么,IE8能否为我们的Web安全带来一缕清风吗?

一、Web安全形势日益严峻

据微软称,IE8在开发过程中就考虑到了已有的和正在浮现的各种Web威胁。

在各种Web应用程序安全性漏洞中,最阴险的漏洞之一 称为跨站请求伪造(CSRF),人们将其称为Web漏洞中“沉睡的巨人”,并且这种漏洞修补起来也颇为不易。浏览器安全模型的设 计思想是允许多个网站同时交互、站点之间可以无缝浏览,而CSRF攻击恰恰就是利用了这一点。

随着个人数据等有价值的信息不断 从最终用户的PC向流行的Web应用程序迁移,CSRF及其他Web 应用程序漏洞将日益受到人们的关注。

二、XDomainRequest对象应运而生

为了抵抗CSRF攻击,IE8引入了一个XDomainRequest对象,它在允许以服务器权限跨域通信的同时还包含一些防御CSRF攻击的特殊 限制。最终用户可以通过在不使用web应用的时候退出敏感的网站以及使用InPrivate Browsing会话浏览页面来减轻CSRF攻击的影 响,因为InPrivate会话会清空Cookie,所以无法通过CSRF攻击来替换缓存的Cookie。

然而,Web应用程序本身必须设计成能够防御CSRF攻击。设计良好的Web应用程序经常通过挑战/令牌或者类似的策略来检查非受害 者用户本意发出的恶意请求来自我保护。遗憾的是,挑战/令牌和类似的策略本身却受到某些漏洞的影响,其中第一种漏洞是跨站 点脚本攻击(XSS)。如果一个由令牌保护的Web应用程序包含一个跨站点脚本攻击安全漏洞,那么它很可能会由于安全令牌失窃而导致CSRF攻击。

幸运的是,IE8包含一个XSS过滤器和一些其他功能,可以帮助抵御XSS攻击,从而降低令牌失窃的几率。除此之外,还可以利用点击劫持来协助实施CSRF攻击。点击劫持可以使用户在不知不觉中单击一个模糊的或者隐藏的web元素,从 而导致非本意的处理。一次成功的点击劫持攻击可以轻易化解通过使用户确认其交易的CSRF保护措施。

1 2 3  下一页

Tags:IE 点击 绑架

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接