本文目录一览:
- 1、如何设置安全的header
- 2、在学习XSS前应该学习什么?
- 3、苹果紧急推送iOS 15.3.1正式版,修复重要漏洞
- 4、iOS 15.6.1发布!苹果修复了哪些高危漏洞?新版本的体验感如何?
- 5、为什么我说 Android 很糟糕
- 6、浏览器的Xss过滤器机制是什么,为什么有些反射型Xss不会触发过滤器
如何设置安全的header
正确的设置
0 – 关闭对浏览器的xss防护
1 – 开启xss防护
1; mode=block – 开启xss防护并通知浏览器阻止而不是过滤用户注入的脚本。
1; report= – 这个只有chrome和webkit内核的浏览器支持,这种模式告诉浏览器当发现疑似xss攻击的时候就将这部分数据post到指定地址。
通常不正确的设置
0; mode=block; – 记住当配置为0的时候,即使加了mode=block选项也是没有效果的。需要指出的是,chrome在发现这种错误的配置后还是会开启xss防护。
1 mode=block; – 数字和选项之间必须是用分号分割,逗号和空格都是错误的。但是这种错误配置情况下,IE和chrome还是默认会清洗xss攻击,但是不会阻拦。
如何检测
如果过滤器检测或阻拦了一个反射性xss以后,IE会弹出一个对话框。当设置为1时,chrome会隐藏对反射性xss的输出。如果是设置为 1; mode=block ,那么chrome会直接将user-agent置为一个空值:, URL 这种形式。
参考文献
Post from Microsoft on the X-XSS-Protection Header
Chromium X-XSS-Protection Header Parsing Source
Discussion of report format in WebKit bugzilla
2. X-Content-Type-Options
目的
这个header主要用来防止在IE9、chrome和safari中的MIME类型混淆攻击。firefox目前对此还存在争议。通常浏览器可以通过嗅探内容本身的方法来决定它是什么类型,而不是看响应中的content-type值。通过设置 X-Content-Type-Options:如果content-type和期望的类型匹配,则不需要嗅探,只能从外部加载确定类型的资源。举个例子,如果加载了一个样式表,那么资源的MIME类型只能是text/css,对于IE中的脚本资源,以下的内容类型是有效的:
application/ecmascript
application/javascript
application/x-javascript
text/ecmascript
text/javascript
text/jscript
text/x-javascript
text/vbs
text/vbscript
对于chrome,则支持下面的MIME 类型:
text/javascript
text/ecmascript
application/javascript
application/ecmascript
application/x-javascript
text/javascript1.1
text/javascript1.2
text/javascript1.3
text/jscript
text/live script
正确的设置
nosniff – 这个是唯一正确的设置,必须这样。
通常不正确的设置
‘nosniff’ – 引号是不允许的
: nosniff – 冒号也是错误的
如何检测
在IE和chrome中打开开发者工具,在控制台中观察配置了nosniff和没有配置nosniff的输出有啥区别。
参考文献
Microsoft Post on Reducing MIME type security risks
Chromium Source for parsing nosniff from response
Chromium Source list of JS MIME types
MIME Sniffing Living Standard
3. X-Frame-Options
目的
这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻击。IE8和firefox 18以后的版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM,但是WebKit已经在研究这个了。
正确的设置
DENY – 禁止所有的资源(本地或远程)试图通过frame来加载其他也支持X-Frame-Options 的资源。
SAMEORIGIN – 只允许遵守同源策略的资源(和站点同源)通过frame加载那些受保护的资源。
ALLOW-FROM – 允许指定的资源(必须带上协议http或者https)通过frame来加载受保护的资源。这个配置只在IE和firefox下面有效。其他浏览器则默认允许任何源的资源(在X-Frame-Options没设置的情况下)。
在学习XSS前应该学习什么?
XSS是我们比较熟悉的一种攻击方式,包括存储型XSS、反射型XSS、DOM XSS等,但UXSS(通用型XSS)另外一种不同的漏洞类型,主要体现在漏洞的载体和影响范围上。
XSS问题源于某一个WEB站点或应用存在安全问题,但受同源策略的约束,攻击者只能访问存在漏洞的站点的回话信息,无法访问其他域的回话信息。
UXSS则主要源于浏览器或浏览器扩展程序的安全缺陷,不需要网站本身存在漏洞也可以触发漏洞,攻击者可以获取到浏览器打开和缓存的所有页面(不同域)的会话信息,因此UXSS漏洞的杀伤力极强。
由于Google把WebKit移植到了Android上,并将其作为WebView组件封装在SDK中,但一些之前出现在PC版chrome的WebKit漏洞在SDK中并未修复,因此历史的悲剧在android上再一次上演:
苹果紧急推送iOS 15.3.1正式版,修复重要漏洞
今日凌晨,苹果推送了iOS15.3.1正式版,因为是正式版,所以用户可以直接打开设置-通用-软件更新,可直接更新
本次OTA的更新包大小为247.9M,更新后的版本号为:19D52,根据苹果官方的更新说明来看本次的更新主要是针对iPhone的安全性和修复Bug为主,没有多大功能性的更新!
按照以往的经验来说,iOS 15.3已经是很完美的一个系统了,如果没有什么突发情况的话,苹果下一个系统应该就是iOS 15.4了(iPhone12、iPhone13用户心心念的系统)
一般来说如果不是系统中有严重的漏洞的话苹果都不会紧急推送更新系统的,那么这个突发情况是什么呢?
根据官方给出的更新说明显示iOS 15.3.1系统修复了Safari浏览器中存在的一项Webkit的漏洞,那么这个漏洞有是危害呢?
据悉,该漏洞会导致用户在处理恶意制作的网页内容时可能会导致任意代码的执行(简单来说就是就恶意代码,可以窃取你手机的信息,这个和一向主打安全为主的苹果背道而驰了,敢在太岁头上动土?还不封杀你?)
本次漏洞影响的机型有:
iPhone6S及以上的机型、ipad Pro所有机型
ipad Air2及以上机型、ipad5及以上机型
ipadmini4及以上机型、ipod touch7
咋一看,这个漏洞影响的范围很大,但是好像感觉跟我们这些普通用户的影响不大
------
最后的最后说两句:
本次的更新还修复了盲文显示器可能无法响应的问题,免提闪烁没有修复,至于流畅度和耗电的情况和上个版本没多大区别!
如果已经上车iOS 15系统的小伙伴, 科技 君还是建议升级到iOS 15.3.1系统的,如果还是iOS14或者更低的就不建议升级了!
iOS 15.6.1发布!苹果修复了哪些高危漏洞?新版本的体验感如何?
要知道苹果每一次更新版本,必定会修复手机的一些漏洞,同时也会让整体的性能得到相应的提升。这次的iOS 15.6.1发布之后修复了几个方面的漏洞,分别为Safari 选项卡、iPhone 存储空间、邮件中导航文件等,另外也解决了其他的问题。不得不说新版本的体验感还是非常顺畅的,也能够让大家的使用感受得到进一步的提升。
其实从官方信息来看,这一次的版本总共修复了37个漏洞,其中还有4个内核漏洞,但是大家好像也并没有特别明显的体验感,不过针对用户反映的几个主要问题都得到了明显改善。首先就是浏览器选项卡的问题,因为大家在使用的过程当中会发现自主恢复到上一页,因此给大家带来了不好的使用体验。这次也是做出了相应的改变,大家发现并不会像原来那样。
其次就是储存空间方面,其实很多用户的储存空间仍有剩余,但是在设置中一直显示储存空间处于一个较满的问题,这就影响到了部分用户的拍照以及储存视频等方面。但是通过相应的更改之后就没有这样的情况了,大家可以肆无忌惮的下载各种APP。最后一个方面就是导航文件,因为有些人在设置盲文的时候发现没有反应或者反应非常的慢,这次大家在更改的时候,就能够看到明显的变化。
所以小编自身还是比较喜欢苹果系统的,虽然每隔一段时间会更新一次版本,但确实是给大家带来了相应的便利,同时也让大家的一些问题得到了更改,也能够看出苹果对于用户的一个态度。小编认为如果日后还出现问题,就可以向官方进行投诉或者建议,那么也会被后台人员看到,因此做出改变,让大家的使用体验更好。
为什么我说 Android 很糟糕
Android 的安全问题一直被吐槽,包括不安全的APP市场、上次的远程命令执行漏洞、还有它的权限机制,总之一团糟,这些还是可以忍的,APP市场总是在规范化,大的漏洞很快就会被应急,权限问题也在慢慢改善。
今天要说的是一个 Android 下很有生命力的漏洞,刚刚提到的远程命里执行漏洞也是把所有涉及到浏览器的应用给走了一遍,包括 QQ、微博、UC浏览器,这次要说的也是关于浏览器的漏洞,叫 UXSS。
首先科普下 UXSS 和 WebView
通俗的说下
UXSS:当你访问 A 网站的时候A网站可以跨域获取你在 B 网站的一切信息。
WebView:安卓浏览器的浏览器组件,做网页展示都需要用到它。
他们是什么关系呢?
Webview 的底层的是 webkit,但是是比较老的 webkit。
这就出现一个问题, 大家用老版本的东西的时候可能是想着稳定性,还要注意一点的就是安全性,漏洞补丁往往是随着应用升级一起发布的。
老版本的 webkit 存在大量的已披露 UXSS 漏洞(即 POC 公开)。
再说说 UXSS 的攻击流程
正常情况下我们会访问各种各样的网站,比如我常上的网站是知乎和乌云。
如果有一天,邪恶的剑心想通过 UXSS 漏洞攻击我的知乎账户,那么他只要在乌云的网站中插入一段 JS 执行 UXSS 漏洞代码即可劫持我知乎账户的 session。
正常用户==request== wooyun.org
==script exec == uxss.js
uxss.js ==bypass SOP== zhihu.com
done,session get!
不只是浏览器,还包括 微信、QQ、微博等所有涉及网页浏览的应用。
手机QQ安卓版两处跨域问题
上面这个漏洞,可以直接在任意一个网页中插入上面漏洞的代码,发给好友 URL,就可以获得她的QQ权限。
UC浏览器Android最新版(4.4)跨域漏洞(不受系统版本限制)
再看来这个,是浏览器的,平时我们会使用手机浏览器登陆很多网站,这样更有利于攻击,可以直接一次攻击获得你所有登陆过的网站的身份。
还有很多,这些都是由于 webkit 版本低造成的。
浏览器的Xss过滤器机制是什么,为什么有些反射型Xss不会触发过滤器
首先要说明的是 它是webkit的一个模块,而非chrome ,所以Safari和360安全浏览器极速模式等webkit内核的浏览器都有XSS过滤功能.
过滤方式:
通过模糊匹配 输入参数(GET query| POST form data| Location fragment ) 与 dom树,如果匹配中的数据中包含跨站脚本则不在输出到上下文DOM树中.另外,匹配的规则跟CSP没有什么关系,最多是有参考,CSP这种规范类的东西更新速度太慢跟不上现实问题的步伐.
关闭模式:
因为它有可能影响到业务,所以浏览器提供了关闭它的HTTP响应头.
X-XSS-Protection: 0
绕过方式:
因为专门做这方面的原因所以对绕过也有所了解,目前我发布过的一个bypass 0day还可以继续使用.
svgscript xlink:href=data:,alert(1)/script/svg