来自 防护 2021-10-11 16:07 的文章

服务器防御_cdn防御ddos效果_精准

服务器防御_cdn防御ddos效果_精准

扩展已经成为每个用户浏览器的必备功能。由于大多数用户并不了解浏览器扩展的强大功能,因此创建安全浏览器扩展的责任属于您,即开发人员。浏览器供应商也有一些责任,他们开始理解浏览器扩展的安全性有多重要,例如,谷歌最近宣布在Chrome70中使用更安全的扩展。浏览器扩展是用JavaScript编写的,由浏览器在后台加载。虽然它有自己的DOM,但是它有能力与其他页面的DOM交互。这意味着它可能会损害其他页面的完整性、机密性和可用性。听起来很吓人,不是吗?事实上,浏览器一直在提高用户的安全性,包括检测来自扩展的潜在威胁。例如,Chrome扫描Web商店并禁用被认为不安全的扩展。另外,在安装过程中,扩展总是向用户请求权限,只有在用户同意的情况下,安装才会完成。浏览器扩展和权限权限在中定义manifest.json文件扩展名的文件,具有"permissions"属性,它们可以允许访问浏览器可以访问的几乎所有内容,例如cookies或物理存储。扩展甚至可以允许在其他页面的dom上注入脚本,比如加密货币miner代码(例如droidclubbotnet)。您可以查看Chrome的完整权限列表。安装扩展后,始终可以在浏览器上查看其权限,如图所示。 在这个例子中(googledocs Offline),扩展可以读写用户的剪贴板,从攻击者的角度来看,这可能非常有吸引力。在安装扩展之前,请确保您始终确认它是从官方商店下载的,具有良好的声誉,并且它请求的权限对于其功能来说是足够的。请考虑禁用一些扩展,下列哪个方法无法防御ddos,只在需要时激活它们。如果您正在开发扩展,请确保只设置所需的权限,简单防御ddos,而不给它不必要的访问权限。这是众所周知的最小特权原则的一个极好的例子。许多攻击载体扩展通常使用第三方脚本,这些脚本经常从原始源加载。这引入了一个新的攻击向量,因为如果第三方受到破坏,防御cc攻击的软件,扩展也很可能受到损害。在扩展中使用第三方脚本时要非常小心。对第三方资源的访问通常在没有SSL/TLS的情况下执行。这也是影响扩展的向量。如果攻击者能够截获用户和服务器之间的通信,他们就可以使用明文HTTP通信插入恶意脚本,浏览器就会在不警告用户的情况下加载这些脚本。另一个常见的隐私问题是使用分析工具将数据发送给第三方。这可能包括敏感信息,如个人识别信息(PII)、社交媒体使用情况、访问页面等。开发人员必须不惜任何代价避免这种数据泄漏,尤其是最近的数据保护法规,如通用数据保护条例(GDPR)。真实案例场景在浏览器扩展中发现了几个漏洞。例如,Cisco WebEx和LastPass扩展易受远程代码执行的攻击。PBot是一个用Python编写的广告软件,它安装浏览器扩展以便在访问的网页上放置广告,然后将用户重定向到其他网站。这些扩展的强大功能可能会让用户处于危险之中,可能是因为安装了带有编码安全漏洞的扩展,或是通过网络钓鱼部署的恶意活动,或者是由导致用户安装邪恶扩展的恶意网站。因此,在开发扩展时,云锁防御ddos,安全控制是至关重要的,使用应用程序安全测试工具也可以帮助开发人员从一开始就保护他们的代码。不安全的编码实践作为一个例子,ddos防御产品介绍,我们把随便吧Chrome扩展演示了野外不安全的编码实践。随便吧是一个帮助用户管理时间的工具。它拥有超过271000名用户。在官方的Chrome商店,我们看到代码是在2017年6月部署的,所以现在已经有一年多了。它需要权限才能"读取和更改您访问的网站上的所有数据"。为什么这是必需的?然后,我们通过Checkmarx SAST工具运行JavaScript代码,发现以下代码:用户密码似乎保存在浏览器上窗户。储藏室,用base64编码。这真的是真的吗?显然如此。前面的图片是浏览器控制台的屏幕截图,显示了窗户。储藏室. 通过对base64进行解码,密码将显示:密码保留在窗户。储藏室直到浏览器完全关闭并重新启动。这对Mac用户来说更糟糕,因为Chrome在关闭所有窗口后仍然处于打开状态,只有当用户强制退出应用程序时,它才会完全关闭。下面是从本地存储中删除密码的代码。如果存储中存在"userPuid",则删除"password";只有在用户登录时才创建"userPuid"。上一个代码在浏览器启动时执行。当用户注销时,"userPuid"和"password"项将从存储器中删除。这显然是一种不安全的编码实践。当用户选择不保存用户名时,应该只保存用户名。在过去的几个月里,我们多次试图联系随便吧,但我们没有得到他们的回应。结论请记住,扩展是非常强大的。毫无疑问,它们是优秀的工具,但请务必谨慎使用,并在开发时牢记以下准则:遵循权限最小的原则尽可能避免使用第三方脚本尽可能避免使用分析工具对所有请求使用SSL/TLS遵循安全编码实践使用应用程序安全测试工具有关Javascript安全编码实践的更多信息,请参阅我们之前的博客文章或投稿到GitHub上的开源指南。hbspt.cta.负荷(146169,‘9cb4ea23-2b11-45c9-9307-5A76290C573',{}); 任何人都可以矢量浏览器扩展浏览器权限Google Chromeinsure编码实践JavaScriptJavaScript安全编码实践漏洞生物最新帖子拉贾伊·努塞比赫数据驱动、注重结果、精力充沛的产品经理,在数字营销、数字产品管理、技术和安全SaaS公司拥有专业知识。Rajai Nuseibeh的最新帖子Checkmarx Research:SoundCloud API安全咨询-2020年2月11日检查马克思研究:库伯内特斯的种族状况-2020年2月5日Checkmarx Research:从安全角度看稳健和智能合约-2020年1月15日