從IE瀏覽器到Google Chrome看跨站腳本攻擊
腳本攻擊威脅不斷
現在的瀏覽器安全性已經得到了明顯的提高,但是當討論影響用戶的安全威脅問題時,跨站腳本攻擊依然高居榜首。
我們注意到,瀏覽器供應商已經開始通過向瀏覽器建立更多保護來解決瀏覽器安全問題,例如,微軟公司在其IE8瀏覽器中就增加了跨站腳本過濾器,這種技術面臨的挑戰就是使Web應用程序接受復雜的HTML輸入同時阻止惡意腳本。
現在,位于美國伊力諾依州的兩名研究人員正在考慮采用新的方式通過減少對不可靠web瀏覽器解析器上的web應用程序的依賴來加強瀏覽器的保護。
在美國加州奧克蘭召開的IEEE安全與隱私研討會上,這兩名研究人員Mike TerLouw和V.N.Venkatakrishnan提出了抵御跨站腳本攻擊的新方法,被稱為BluePrint。
作為插入web應用程序與瀏覽器之間的軟件層,BluePrint使用安全的HTML元素的白名單來確定和移除不可信的內容。為了避免潛在的腳本注入攻擊,白名單內容在瀏覽器中被非常小心的傳輸和復制。
在一份文件中,這兩名研究人員表示,目前的web瀏覽器并不能進行可信的腳本識別(不能識別涉及可疑HTML的內容),因為瀏覽器的不可信的解析功能。出于這個原因,兩人設計了BluePrint從根本上對解析進行控制。
“在應用程序服務器上,解析樹是從不可信的HTML生成的,需要采取必要的預防措施來確保解析樹中沒有動態內容(如腳本)節點,”研究人員表示,“在客戶端瀏覽器中,生成的解析樹被傳給瀏覽器的文件生成器,沒有采取不可信路徑,但卻涉及不可靠的瀏覽器解析行為。”
他們表示,“這兩個步驟能夠確保瀏覽器生成的不可信內容符合web應用程序對該內容的理解,生成的文件能夠反映出應用程序的意圖,不可信內容不包含腳本內容,因此所有的未經授權的腳本執行都被制止。”
研究人員在Google Chrome、Firefox2和3、Opera9.6、Safari3.1和3.2以及IE6和IE7中測試了他們的軟件,從原則上說,BluePrint能夠與目前所有支持t的瀏覽器兼容,Venkatakrishnan表示。
“我們使用BluePrint將大規模應用程序(如MediaWiki和WordPress)進行轉換,測試結果表明對查看BluePrint轉換網頁的用戶幾乎沒有實際影響,”他表示,“BluePrint沒有修改任何可信賴的內容,如果網頁包含動態可信任內容,BluePrint將不會影響這些網頁。”
瀏覽器的討論中跨站腳本攻擊的分析就為大家介紹完了,希望大家已經掌握和理解了。
【編輯推薦】
