iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 1
0
自我挑戰組

No Security No Sleep系列 第 1

0x01 explore browser

大量資料與服務在web上建立,著實方便
而代價就是存在一定的風險,再開始前先行了解browser由什麼組成吧

同源策略(Same Origin Policy)

瀏覽器當中最重要的安全控制為同源策略(通稱SOP),目的為限制資料來源間的互動

HTTP標頭

可將http標頭看作包裹上的地址與相關指示,規定內容物的去處及處理方式
而web client端所有請求開頭http標頭給web server時,web server也會使用http標頭當回應的第一個項目
但為了在眾多瀏覽器之中存活下來,衍生出許多安全功能來防衛

  1. 內容安全策略(Content Security Policy,CSP)
    CSP HTTP標頭能夠限制腳本的內容,主要是為了減緩XSS漏洞,例如能否使用javascript的eval函數
  2. Secure Cookie標誌
    當瀏覽器與伺服器通過https建立時,會產生會話令牌(token),在某些方法下http也能取得token拿到cookie
    Secure cookie功能為指示瀏覽器不在非https通道上傳送cookie
  3. HttpOnly Cookie標誌
    現今瀏覽器都遵守這項指令,HttpOnly標誌讓瀏覽器不允許任何腳本存取cookie內容
    主要防範XSS漏洞
  4. Strict-Transport-Security
    當使用此標頭,與網站溝通的瀏覽器只允許在有效的HTTPS上傳輸,非HTTPS通道一律無法執行

標記語言

標記語言是一種指定如何顯示內容的方法
HTML(HyperText Markup Language)
用來顯示網頁的主要語言,最初由標準通用標記語言(SGML)衍生而來

層疊樣式表(CSS)

CSS為web瀏覽器用來指定網頁內容樣式的主要方法

腳本

  1. JavaScript
    支援功能性及物件導向的程式概念,屬於弱型別
  2. VBScript
    只有MicroSoft的瀏覽器支援,卻很少用於web開發,因為不允許跨越瀏覽器,但多數功能JavaScript都可實現

文件物件模型

通稱DOM,為瀏覽器基礎概念,在HTML或XML文件透過物件互動的API

WebSocket

websocket是一種瀏覽器的技術,讓我們在瀏覽器和伺服器間開啟一個互動式、迅速反應,及全雙工的通道技術
用來取代AJAX-push的技術(如Comet),comet需要額外的函式庫,而瀏覽器本身便有websocket

WebRTC

web即時通訊(Web Real-Time Communication),此API允許瀏覽器以所需最低延遲和最高頻寬溝通,支援即時與多媒體裝置溝通

渲染引擎(Rendering Engines)

負責將資料轉換成一種有用的格式,以便呈現於螢幕


下一篇
0x02 Core Security & Hacking Method
系列文
No Security No Sleep13

尚未有邦友留言

立即登入留言