JHook在Web前端安全中的应用概要.ppt

360信息安全部 0KEE Team 王珂 2015年6月28日 JHook在Web前端安全中的应用 前端页面中不可控脚本 无法彻底消灭的XSS 引入的第三方资源 第三方服务器权限沦陷的情况？？ *01 前端防火墙：Content Security Policy 背景 CSP的缺点 策略控制上不够灵活 维护成本较高 后端部署不够灵活 JHook是在前端部署一个js文件 接管了js中重要的函数和对象 对危险行为可进行灵活定义 提高应急响应能力 JHook简介 技术实现 反卸载技术的对抗 UnHook Hook Anti unHook Anti anti-unHook Anti anti-anti-unHook Anti anti-anti-anti-unHook 应用场景 JHook如何应对XSS攻击 JHook如何监控第三方资源 *01 JHook针对XSS定义了一系列的行为事件 发现攻击，迅速响应 JHook如何防御XSS盲打 JHook如何应对XSS攻击 单一行为 单一行为 单一行为 … … … 黑名单 事件告警 单一行为 黑名单 黑名单 应用场景 JHook如何应对XSS攻击 JHook如何监控第三方资源 JHook如何监控第三方资源 Jhook监控第三方资源 挂钩子-执行不可控脚本-卸载钩子-日志记录与比对 CSP与JHook的整体比较 CSP防火墙 JHook主动防御 部署与维护 控制维度 执行效率 兼容性 绕过难度 CSP与Jhook在控制维度方面的比较 CSP防火墙 JHook主动防御 控制元素的访问策略 控制内联脚本 （可以加入） 控制eval函数 （可以加入） 放行、阻断、告警 监控js内部调用 可监控第三方脚本 谢 谢 ！ 北京朝阳区酒仙桥路6号院2号楼 100015 Building 2, 6 Haoyuan, Jiuxianqiao Road, Chaoyang District,Beijing,P.R.C. 100015 Tel +86 10 5682 2690 Fax +86 10 5682 2000 * 权限和先后的问题 * Js中没有权限划分的概念 越早进入系统这是优势 * 相互补充 * 相互补充 * * 权限和先后的问题 * Js中没有权限划分的概念 越早进入系统这是优势 * 相互补充 * 相互补充 *