Web2.0時代下瀏覽器的安全研究

仇昱

摘要：文章重點描述了在Web2.0的時代背景下，瀏覽器應用的安全問題，也給出了常用的基于瀏覽器端的攻擊原理以及解決辦法，以保證瀏覽器端應用的安全。

關鍵詞：Web2.0；瀏覽器；攻擊；安全威脅

如今使用的Web開發技術，都是采用的Web2.0技術規范。對于其前身Webl.O技術規范來講，其是最新的一類互聯網應用技術的集合，從內部主要的內容到外部的應用都發生了巨大改變。毫無疑問，Web2.0的核心技術是Ajax。Ajax技術是現今大部分Web瀏覽器所采用的技術集合，所有使用Ajax技術的Web網頁，其內容可以直接快速地更新，而不需要進行頁面刷新等多余的操作；也可以將改變后的信息，不通過任何的操作直接發送到服務器上；甚至還可以借助客戶端機器上的瀏覽器，直接響應從服務器端的JavaScript處理。Web應用采用了Ajax技術后，網絡上數據的交互變得更少了，Web服務器處理數據交互所花費的時間，也變得更短了，并且用戶明顯感覺到響應請求的速度更快了，加強了用4本Web2.0技術的快速發展和運用，極大地提高了客戶端的交互能力，從而使得今后的Web系統將大量運用Ajax和JavaScnpt等技術。這些技術的運用，勢必使很多基于邏輯層上的業務全部都轉到了客戶端，從而讓整個Web應用系統暴露出一些嚴重的安全威脅，極大地提高用戶個人隱私泄漏的風險[1]。

1XSS攻擊1.1XSS攻擊的涵義

所謂XSS就是人們經常討論的跨站腳本攻擊。這種既熱門又不太受重視的Web攻擊方式卻在當下極為流行，讓人防不勝防，成為瀏覽器領域里的一大威脅。這種攻擊方式主要作用于某些單一的社交網絡服務（SocialNetworkingSenaces，SNS）網站域，其原理是：非法用戶利用瀏覽器在解析Web頁面的時候，會不加思索地執行頁面中的代碼，從而使得非法者故意向Web頁面中加入一些非法的指向惡意鏈接的超級文本標記語言（HyperTextMarkupLanguage，HTML）標簽或者是Java腳本代碼。當黑客利用這種攻擊方法向可信的原網頁鏈接中注入指向惡意的鏈接代碼的時候，只要用戶點擊此鏈接，內嵌程序就會被激活，并在受害者的電腦上自動運行，從而引導受害者執行不安全的操作，導致用戶的敏感數據被偷走。

XSS攻擊可以讓用戶泄露的敏感數據有：（1）盜取各類用戶賬號及密碼，黑客通過利用XSS攻擊，盜取用戶的網站認證Cookie，利用竊取的Cookie，黑客可以在社交網絡平臺上得到用戶的網絡控制；（2）獲取企業數據的控制能力，包括對企業敏感數據的讀取、篡改、添加和刪除；（3）竊取企業具有重要商業價值的信息；（4）非法轉移用戶財產，站點掛馬和強制發送毫無意義的電子郵件；（5）能夠控制其他受害者的計算機，向其他站點的網站進行攻擊[2]。

1.2XSS攻擊的防范

諸如此類的危害，唯一能完全杜絕XSS攻擊的方法，就是禁用腳本、圖片等標簽，顯然這是不靠譜的。在保證頁面內容豐富的前提之下，可以采用以下措施來預防XSS攻擊，盡量減少XSS造成的危害。

1.2.1輸入檢測

這就意味著要對用戶所輸入的全部數據進行檢測，過濾掉能夠引起腳本注入的特殊字符；或者在編寫HTML文檔的時候，過濾掉有關腳本等字樣的關鍵字；或者在錄入數據的時候，將其數據長度限制固定住，同時也要考慮到惡意攻擊者，會使用其他數據的進制編碼，來進行數據錄入。因此，在要對用戶錄入的數據，進行輸入校驗的時候，同時也要想到在輸入數據的時候，入侵者會想方設法地繞開美國信肩、交換標準代碼（American Standard Codefor Information Interchange，ASCII），而采用其他進制編碼。

1.2.2輸出編碼時要加密

如果要將用戶錄入的數據輸出到目標頁面中，只要在其輸出之前利用第三方編譯工具，首先分析這些數據；然后使用加密程序，對這些數據進行加密處理；最后將加密好的數據，再輸出到目的頁面中。這樣，即便是用戶編寫一些HTML的腳本，但是通過第三方編譯工具的解析，也可以轉變成了普通的字符，而不會轉換成為目的頁面的HTML代碼的一部分，在瀏覽這樣的頁面時就不會執行此類代碼，從而提高了數據的安全性。

1.2.3Cookie要進行必要的防盜

對于儲存在用戶本地客戶端上的數據而言，Cookie則采取以下的措施進行必要的防盜。首先，要最大限度地避免在受害者本地客戶端上的Cookie中泄露隱私，如用戶名、密碼等；其次，可以使用MD5算法對用戶的本地客戶端的Cookie信息進行多次哈希散列加密后存儲；再次，將Cookie和IP地址進行綁定，這是為了防止重放攻擊，還可以防止攻擊者冒充正常用戶的身份。

1.2.4嚴格限制URL的訪問

在執行頁面腳本代碼的過程中，配置一個攔截器，判斷其有沒有權限訪問這個ACTION，沒有的話直接跳轉到指定的可信頁面。這樣在執行鏈接跳轉的時候，就不會跳轉到其他非法且可疑的惡意頁面上。

1.2.5用戶應該注意的事宜

對于普通的網絡應用用戶來講，只要做到以下3點就能避免XSS攻擊。首先，不要輕易相信任何電子郵件和網頁廣告中的不安全、不可靠或是可疑的鏈接。此類鏈接很有可能就會引起反射型的XSS攻擊，這樣會允許用戶訪問一些不安全的網頁，并導致敏感信息泄漏。其次，腳本應該在不必要的情況下禁止自動運行。再次，使用一些具有XSS篩選的瀏覽器，這些瀏覽器將會提示并阻止頁面中的XSS注入。

2CSRF攻擊

2.1CSRF攻擊的涵義

CSRF全稱Cross-siterequestforgery，中文名是跨站請求偽造，同時也可以被稱為“OneClickAttack”或是“Session Ridmg”，而CSRF和XSRF是它的縮寫形式。其使用冒名頂替的方式，向受害者發送被信任用戶的請求，利用受信任的網站，誘導受害者進行非法操作，進而獲取受害者的敏感信息。endprint

瀏覽器的跨站點請求是合法的，很難在這個級別的瀏覽器上防止CSRF攻擊，所以CSRF攻擊比起XSS更具有危害性。相對于CSRF攻擊的防御來看，目前主要是從服務器端和客戶端兩個方面來防御。但從防御的效果來看，從服務器端來防御的效果比在客戶端的效果要好很多，如今一般的CSRF防御絕大部分是在服務器端進行。

2.2CSRF的防御

現今有很多技術都可以在服務器端和客戶端上防御CSRF攻擊，但總體思路是類似的，就是在客戶端上添加一偽隨機數，再在服務器端進行驗證。

2.2.1Cookies散列

Cookies散列是所有表單都包含相同的偽隨機值，這個方法可能是最簡單和最快捷的解決方法。因為攻擊者是不可能、也無法獲得被攻擊者的Cookies中的內容，那么與表單相關的數據也就無法構建了，也導致相應的數據表單構建失敗。向表單里添加哈希散列值，用來驗證這是否是用戶發送的請求，然后在服務器端執行哈希值（Hash）驗證。

2.2.2驗證碼

這個方法是在用戶每次提交數據的時候，會要求用戶填寫一個圖片上隨機產生的一組字符串。該解決方案可以徹底解決CSRF攻擊。然而，就個人而言，似乎使用不是很好，驗證碼圖片在使用時，會涉及一個名為MHTML的Bug，可能會在某些版本的MicrosoftIE中受到影響，除此以外其也會降低用戶的體驗。

2.2.3One-TimeTokens

One-TimeTokens是指一次性令牌，不同形式包含不同的偽隨機值。如果需要實現一次性令牌，則需要了解并行會話的兼容性。如果用戶在網站上一次性打開兩種不同的表單，CSRF的防御保護就不應影響其對任何形式的提交。考慮到每個形式表單加載時發生的情況，并且站點生成偽隨機值以覆蓋先前的偽隨機值。因為所有其他表單都包含非法偽隨機值，用戶可能會成功提交其最終被打開的表單，所以必須注意所有的操作，應該保證CSRF的防范措施不影響使用多個瀏覽器窗口瀏覽網頁或標簽瀏覽器[3]。

3Clickjacking攻擊

3.1ClickJacking攻擊的涵義

Clickjacking又是一種不容忽視的Web攻擊方式，俗稱點擊劫持。由于這種攻擊方式要求與用戶互動不停地互動，因此增加了其攻擊成本，但實際上卻又的的確確可以應用到欺詐、釣魚等Web攻擊中來。

Clickjacking攻擊是一種“偽裝”攻擊，采用視覺欺騙的手段來達到獲取敏感信息的一種方法。準確來說，通過視覺上的欺騙，使得用戶原本要點擊A，但事實上卻點擊的是B，導致最終的結果是點擊B之后達到了某種惡意的目的。其基本的實現原理是：在HTML中使用多個或單個透明的、不可見的嵌入式的框架，覆蓋在原始網頁的頂層，然后誘使受害者在該頁面上進行操作。此時，用戶將處于未知的狀態，并單擊包含透明內聯框架的頁面。通過調整內置框架頁面的位置，可以欺騙受害者點擊內置框架頁面上的某些功能按鈕。這樣，通過誘使受害者進行一系列復雜的操作后，攻擊者可以獲得想要的信息，這種攻擊更加具有隱蔽性和欺騙性。當前，唯一的辦法是禁用瀏覽器的腳本和插件功能。

3.2Clickjacking的其他形式

萬變不離其宗，Clickjacking的其他形式都是由最基本的文檔中的文檔出發，點擊劫持（Clickjacking）發展出許多不同的“變種”。比如：攻擊者能借助Flash動畫，來實施的點擊劫持；甚至還能借助圖片覆蓋，來實施的欺詐攻擊；最令人嘆為觀止的應該是拖拽劫持和數據竊取了。攻擊者嘗試各種手段誘使受害者從隱藏的不可見的iframe中拖出或拉出攻擊者想要獲取的數據，然后進入另一個頁面中，此時這個頁面攻擊者可以控制，從而達到竊取數據的目的。

這里有一個針對Gmail的驗證性測試的典型示例。其大致過程是：通過設計一個海豹頂球的小游戲，每次用戶點擊小球并拖拽到海豹頭頂上時，都會觸發相應的行為，這里在海豹和小球的頂部分別都隱藏了一個不可見的嵌入式的iframe，然后使用GetData方法獲取數據，當用戶拖拽小球的時候，實際上是點中了隱藏在iframe中的數據；當用戶停止拖拽小球，此時就將數據也放在了隱藏的iframe當中，從而就完成了數據竊取的過程。

4結語

Ajax，JavaScript以及網絡服務是Web2.0應用的3項重要的技術向量，隨著這些技術的應用，基于這些技術的攻擊方式層出不窮，也越來越“猥瑣”，單一的防御措施也顯得越來越脆弱。而忽視這些問題，下一個“泄密門”就離你不遠了。應對這些新的攻擊方式最好的方法是增加Web2.0的安全意識以及提高代碼操作的安全性和系統配置的安全性。

[參考文獻]

[1]周景平.從“泄密門”談瀏覽器安全[J].程序員，2012（3）：45-46.

[2]金山.物聯網信息安全與隱私保護研究[J].計算機光盤軟件與應用，2013（16）：38.

[3]何鵬飛.在大數據時代下IE瀏覽器安全漏洞與防范措施[J].黑龍江科技信息，2016（25）：200.endprint