- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
360信息安全部 0KEE Team 王珂 2015年6月28日 JHook在Web前端安全中的应用 前端页面中不可控脚本 无法彻底消灭的XSS 引入的第三方资源 第三方服务器权限沦陷的情况?? *01 前端防火墙:Content Security Policy 背景 CSP的缺点 策略控制上不够灵活 维护成本较高 后端部署不够灵活 JHook是在前端部署一个js文件 接管了js中重要的函数和对象 对危险行为可进行灵活定义 提高应急响应能力 JHook简介 技术实现 反卸载技术的对抗 UnHook Hook Anti unHook Anti anti-unHook Anti anti-anti-unHook Anti anti-anti-anti-unHook 应用场景 JHook如何应对XSS攻击 JHook如何监控第三方资源 *01 JHook针对XSS定义了一系列的行为事件 发现攻击,迅速响应 JHook如何防御XSS盲打 JHook如何应对XSS攻击 单一行为 单一行为 单一行为 … … … 黑名单 事件告警 单一行为 黑名单 黑名单 应用场景 JHook如何应对XSS攻击 JHook如何监控第三方资源 JHook如何监控第三方资源 Jhook监控第三方资源 挂钩子-执行不可控脚本-卸载钩子-日志记录与比对 CSP与JHook的整体比较 CSP防火墙 JHook主动防御 部署与维护 控制维度 执行效率 兼容性 绕过难度 CSP与Jhook在控制维度方面的比较 CSP防火墙 JHook主动防御 控制元素的访问策略 控制内联脚本 (可以加入) 控制eval函数 (可以加入) 放行、阻断、告警 监控js内部调用 可监控第三方脚本 谢 谢 ! 北京朝阳区酒仙桥路6号院2号楼 100015 Building 2, 6 Haoyuan, Jiuxianqiao Road, Chaoyang District,Beijing,P.R.C. 100015 Tel +86 10 5682 2690 Fax +86 10 5682 2000 * 权限和先后的问题 * Js中没有权限划分的概念 越早进入系统这是优势 * 相互补充 * 相互补充 * * 权限和先后的问题 * Js中没有权限划分的概念 越早进入系统这是优势 * 相互补充 * 相互补充 *
文档评论(0)