合作式跨网站指令码攻击之防御机制 - 知识分享平台.ppt

合作式跨網站指令碼攻擊之防禦機制 田筱榮 王斯翰 中原大學資工所 中壢市、台灣 tyan@ice.cycu.edu.tw wang_shi_han@ice.cycu.edu.tw M99F0107 古慧潔 摘要 跨網站指令碼(XSS)攻擊一直是網頁應用安全的威脅，如Ajax(Asynchronous Javascript and XML )動態網頁技術和社交網路。 XSS衍生出蠕蟲般自我複製能力的攻擊型態，大量客戶端受攻擊，受害客戶端對伺服器端產生大量複製要求，形同對伺服器的分散式阻斷攻擊(DDoS)。 傳統在伺服器端輸入輸出驗證的XSS防禦機制難以防禦XSS worm擴散，本文提出新的合作式防禦架構-伺服器端與客戶端。 前言 跨網站指令碼(XSS)攻擊存在已久，為最常見。 伴隨著Javascript技術廣泛運用，各種web 2.0網頁服務應運而生，將傳統資訊交流行為轉為線上網頁、即時圖文、影音視訊分享等。 因對Javascript使用不謹慎而對資訊安全所造成的影響認知不足、套件實作細節不了解，使網頁應用服務淺藏XSS弱點，為網頁安全漏洞首位。 DDOS、SQL Injection是以伺服器為攻擊目標；XSS攻擊利用無法正確驗證，植入惡意的Javascript程式碼，在受害者瀏覽器中執行，造成攻擊者可取得受害者的個資，如cookie。 近來，XSS攻擊衍生出類似蠕蟲般，具備自我傳播能力的攻擊型態，受害者對伺服器產生大量要求，如同對伺服器分散式阻斷攻擊(DDoS)。 XSS worm快速擴散的原因在於受害者瀏覽器平台相近、社交網站廣大的使用度。 基於傳統XSS防禦機制難防XSS worm擴散，在此提出合作式XSS攻擊防禦架構。 前言 XSS防禦相關研究 Scott與Sharp(2002)提出利用Security Gateway主機做為reverse proxy， 提供網頁開發人員定義網頁安全政策描述語言(Security Policy Description Language)經由政策編策器(policy compiler)自動產生驗證使用者輸入表單的 Javascript程式碼。 優點為： 1.可使用此系統測試網頁應用程式是否安全。 2.所產生的報告，提供開發人員參考以增加防禦經驗。 缺點為： 1.如何定義正確的policy。 2.開發人員無法想像全部的攻擊手法。 3.Ajax使XSS攻擊像蠕蟲自我複製。 A.伺服器端防禦 B.客戶端防禦 C.伺服器端偕同客戶端防禦 A.伺服器端防禦 B.客戶端防禦 C.伺服器端偕同客戶端防禦 Noxes為第一個在客戶端對抗XSS的解決方案，客戶端可手動、自動設定規則保護使用者。 優點： 1.限制開啟外部連結，降低開啟惡意連結機率。 2.提供網址黑白名單管理。 3.不需大量系統資源。 缺點： 1.只能控管外部連結，無法防止XSS攻擊。 2.伺服器端無法由客戶端得知攻擊者資訊。 XSS防禦相關研究 A.伺服器端防禦 B.客戶端防禦 C.伺服器端偕同客戶端防禦 XSS防禦相關研究 BEEF(Browser-Enforce Embedded Policies )開發概念為： 1.在hook檔案建立Javascript method 白名單，瀏覽器比對白名單，若非白名單將用DOM隱藏。 2.客戶端瀏覽器是最佳的XSS攻擊偵測引擎。 優點： 不同瀏覽器對Javascript有不同編譯結果，只需小修改伺服器交給客戶端瀏覽器執行的policy。 缺點： 無法由客戶端瀏覽器的防禦經驗自動修正XSS弱點。 合作式XSS防禦-XSS攻擊手法分類 1.反射型XSS 合作式XSS防禦-XSS攻擊手法分類 2.DOM based XSS 合作式XSS防禦-XSS攻擊手法分類 3.儲存型XSS 合作式XSS防禦-XSS攻擊手法分類 4.XSS worm 1.取得受害者資訊 2.如cooking stealing惡意行為 3.利用Ajax將cooking stealing上傳至個人網頁 合作式XSS防禦-網頁應用個人化資訊安全的攻擊流程 典型的攻擊流程： 1.使用者登入網站，如wiki。 2.Wiki所產生的session id 紀錄使用者登入資訊，將cookie存入主機。 3.點選惡意電子郵件。 4.惡意Javascripe引領至攻擊主機， 一起送出cooker。 分析後轉成網頁應用防火牆 合作式XSS防禦-防禦機制架構規劃 提供客戶端使用者完整保護。 伺服器端可在受攻擊時得知網站弱點。 提供網頁開發人員有時間修正。 合作式XSS防禦-防禦機制架構規劃 伺服器賦予的policy偵測XSS攻擊，阻擋其執行，並將惡意連結回報給伺服器。 事先在policy