xssonandroid.ppt

XSS on Android 陈爱华 XSS on Android 1、关于XSS 2、XSS on Desktop 3、XSS on Android Vs. XSS on Desktop 4、XSS on Android 5、下一步工作 XSS——Cross Site Scripting XSS漏洞：由于Web应用程序没有充分过滤用户输入内容，或者浏览器没有充分过滤页面输出内容，导致的应用层安全漏洞。攻击者利用XSS漏洞能访问受害者的敏感信息。 跨站：“站” XSS攻击三个步骤： 1、用户访问的访问的网站是一个存在XSS漏洞的网站。 2、攻击者发现该网站的XSS漏洞，向其中注入恶意代码，并诱导用户点击访问。 3、用户访问了注入恶意代码的Web页面，恶意脚本在用户的浏览环境中执行，攻击者的攻击目的达到。 漏洞利用：获取执行权限+执行恶意脚本。 有HTML、JavaScript的地方就可能有XSS。 XSS——Cross Site Scripting 攻击者利用XSS漏洞劫持已通过验证的会话。劫持到已验证的会话后，攻击则拥有该授权用户的所有权限。 反射型XSS的攻击步骤： XSS on Desktop——检测、防御 服务端：漏洞扫描、代码审计等。 客户端：浏览器的安全机制、浏览器代码过滤器、反病毒软件等。 客户端-服务端协作的方法。 我们的研究对象：客户端浏览器上的检测、过滤机制。 XSS filter in browser 以IE、Firefox、Chrome为例： IE8：内置了一款无法卸载的Xss Filter，能够反射型跨站脚本攻击做比较好的防护。/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx Firefox ：NoScript，是一个免费、开源的，为 Mozilla Firefox所开发的 扩展（Add-ons）。NoScript 以白名单选择性执行 JavaScript、Java、Flash、Sliverlight 以及其它插件和脚本内容。 Chrome： XSSAutior。 PC浏览器端的XSS过滤机制相对饱满，相应的XSS过滤器已经形成产品并被广泛使用。但随着移动互联网的普及，以及Android应用的日益广泛，Android上的XSS防御处于未知状态，因此研究XSS on Android。. XSS on Android Vs. XSS on Desktop 相同之处： 都要执行html\js代码，所以都有存在XSS漏洞的可能。 不同之处： 1、SNS的Android App广泛使用，在一定程度上淡化了浏览器的使用。 2、App中会引入html\js代码，可能存在XSS。 3、Android移动浏览器均是新开发的，安全机制尚不完善。 4、移动设备涉及更多的个人隐私信息。 因此，研究XSS on Android尤为重要。 XSS on Android 1、威胁 2、检测 XSS on Android——威胁 CVE ：介绍CVE四个相关漏洞 未提交： GoogleMarket漏洞 浏览器Webkit漏洞 客户端App漏洞（通过WebView控件引入html、js导致） 其他：开发环境漏洞及利用 XSS on Android——威胁 CVE:英文全称是“Common Vulnerabilities Exposures”公共漏洞和暴露。 CVE就好比一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称和漏洞编号。使用漏洞名称和编号，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。 XSS on Android——威胁 CVE四个相关漏洞： CVE-2012-0767，CVE-2011-2107：Windows、Mac OS X、Linux、Android2.x、Android3.x中FlashPlayer的漏洞，允许远程攻击者通过攻击向量向web叶面中注入html\js代码。 CVE-2011-2444：Windows、Mac OS X、Linux、Android2.x、Android3.x中FlashPlayer的漏洞，允许远程攻击者通过向精心构造的URL中注入Web脚本或html. CVE-2011-2357：Android中Intents机制的漏洞，导致JS代码可以跨域在当前浏览器环境中执行。 XSS on Android——威胁 CVE-2011-2357：2011年6