腳本攻擊威脅不斷

現(xiàn)在的瀏覽器安全性已經(jīng)得到了明顯的提高，但是當討論影響用戶的安全威脅問題時，跨站腳本攻擊依然高居榜首。

我們注意到，瀏覽器供應商已經(jīng)開始通過向瀏覽器建立更多保護來解決瀏覽器安全問題，例如，微軟公司在其IE8瀏覽器中就增加了跨站腳本過濾器，這種技術(shù)面臨的挑戰(zhàn)就是使Web應用程序接受復雜的HTML輸入同時阻止惡意腳本。

現(xiàn)在，位于美國伊力諾依州的兩名研究人員正在考慮采用新的方式通過減少對不可靠web瀏覽器解析器上的web應用程序的依賴來加強瀏覽器的保護。

在美國加州奧克蘭召開的IEEE安全與隱私研討會上，這兩名研究人員Mike TerLouw和V.N.Venkatakrishnan提出了抵御跨站腳本攻擊的新方法，被稱為BluePrint。

作為插入web應用程序與瀏覽器之間的軟件層，BluePrint使用安全的HTML元素的白名單來確定和移除不可信的內(nèi)容。為了避免潛在的腳本注入攻擊，白名單內(nèi)容在瀏覽器中被非常小心的傳輸和復制。

在一份文件中，這兩名研究人員表示，目前的web瀏覽器并不能進行可信的腳本識別(不能識別涉及可疑HTML的內(nèi)容)，因為瀏覽器的不可信的解析功能。出于這個原因，兩人設計了BluePrint從根本上對解析進行控制。

“在應用程序服務器上，解析樹是從不可信的HTML生成的，需要采取必要的預防措施來確保解析樹中沒有動態(tài)內(nèi)容(如腳本)節(jié)點，”研究人員表示，“在客戶端瀏覽器中，生成的解析樹被傳給瀏覽器的文件生成器，沒有采取不可信路徑，但卻涉及不可靠的瀏覽器解析行為。”

他們表示，“這兩個步驟能夠確保瀏覽器生成的不可信內(nèi)容符合web應用程序?qū)υ搩?nèi)容的理解，生成的文件能夠反映出應用程序的意圖，不可信內(nèi)容不包含腳本內(nèi)容，因此所有的未經(jīng)授權(quán)的腳本執(zhí)行都被制止。”

研究人員在Google Chrome、Firefox2和3、Opera9.6、Safari3.1和3.2以及IE6和IE7中測試了他們的軟件，從原則上說，BluePrint能夠與目前所有支持t的瀏覽器兼容，Venkatakrishnan表示。

“我們使用BluePrint將大規(guī)模應用程序(如MediaWiki和WordPress)進行轉(zhuǎn)換，測試結(jié)果表明對查看BluePrint轉(zhuǎn)換網(wǎng)頁的用戶幾乎沒有實際影響，”他表示，“BluePrint沒有修改任何可信賴的內(nèi)容，如果網(wǎng)頁包含動態(tài)可信任內(nèi)容，BluePrint將不會影響這些網(wǎng)頁。”

瀏覽器的討論中跨站腳本攻擊的分析就為大家介紹完了，希望大家已經(jīng)掌握和理解了。

【編輯推薦】 

1. 淺析黑客技術(shù)和網(wǎng)絡安全
2. 別讓惡意軟件妨礙我們的生活
3. 大多數(shù)企業(yè)忽視“網(wǎng)絡間諜”的威脅
4. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播