同源战略详解及绕过

访客5年前黑客文章501

浏览器有一个很重要的概念——同源战略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没清晰授权的情况下,不能读写对方的资源。

简略的来说,浏览器答应包含在页面A的脚本拜访第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。
同源战略是由Netscape提出的一个闻名的安全战略,现在一切支撑JavaScript 的浏览器都会运用这个战略。
实际上,这种战略仅仅一个标准,并不是强制要求,各大厂商的浏览器仅仅针对同源战略的一种完成。它是浏览器最中心也最基本的安全功用,假如缺少了同源战略,则浏览器的正常功用或许都会受到影响。
假如Web国际没有同源战略,当你登录黑客接单渠道账号并翻开另一个站点时,这个站点上的JavaScript能够跨域读取你的?砂踩??撕攀?荩?庋??鯳eb国际就无隐私可言了。
情形想象
将一个校园内的学生看作不同源的个别。尽管一个班级里边有许多学生,可是他们都是互不相关的个别。学生家长恳求教师供给同学们的学习成绩陈述,教师会告知家长,你只能够检查自家孩子的学习成绩陈述。
同理,校园收到恳求要对一个学生的学习成绩进行点评,那么在出具点评陈述之前,校园需求对恳求者的身份进行承认。
这便是与浏览器密切相关的同源战略
持续假定,校园答应任何人不经过身份承认检查学生的学习成绩陈述,这就和浏览器没有同源战略相同。同源战略机制为现代广泛依赖于cookie保护用户会话的Web浏览器界说了一个特别的功用,严厉阻隔不相关的网站供给的内容,避免客户端数据机密性或完整性丢掉。
同源战略重要吗?
假定你现已成功登录Gmail服务器,一起在同一个浏览器拜访歹意站点(另一个浏览器选项卡)。没有同源战略,进犯者能够经过JavaScript获取你的邮件以及其他灵敏信息,比如说阅览你的私密邮件,发送虚伪邮件,看你的聊天记录等等。
将Gmail替换为你的银行帐户,问题就大条了。
SOP和DOM:同源战略与文档目标模型
当咱们议论怎么运用JavaScript拜访DOM时,咱们考虑了URL的三个要素(主机名 + 拜访协议 + 端口号)假如不止一个站点具有相同的主机名、拜访协议、端口号,那么他是能够成功拜访到DOM的。但是,IE仅仅仅仅验证主机名以及拜访协议,疏忽了端口号。
在大多数情况下,多个站点或许在同一根域(获取源页面的DOM)。
例如,cart.httpsecure.org需求拜访login.httpsecure.org来进行身份验证。在这种情况下,网站能够运用document.domain特点答应相同域下的其他站点进行DOM交互。假如你答应cart.httpsecure.org与login.httpsecure.org进行交互,开发者需求在两个站点的根域设置document.domain特点。
document.domain = “httpsecure.org”
这表明在当前页面,httpsecure.org下的任何站点都能够拜访DOM资源。当你这样设置后,你应该时间保持警惕!比如说你布置在 *** 上的另一个站点about.httpsecure.org,假定这个站点存在缝隙,那么cart.httpsecure.org这个站点也或许存在缝隙而且能够拜访这个源。
假如进犯者能够上传一些歹意代码,那么about.httpsecure.org也会取得拜访其他站点的权限。
SOP和CORS:同源战略与跨源资源共享
跨源资源共享(CORS)是一种答应多种资源(图片,Css,字体,JavaScript等)在一个web页面恳求域之外的另一个域的资源的机制。
运用XMLHttpRequest目标建议HTTP恳求就必须恪守同源战略。详细而言,Web运用程序能且只能运用XMLHttpRequest目标向其加载的源域名建议HTTP恳求,而不能向任何其它域名建议恳求。跨源资源共享这种机制让Web运用服务器能支撑跨站拜访操控,然后使得安全地进行跨站数据传输成为或许。
假如httpsecure.org源回来下面的呼应头,一切httpsecure.org的子域与根域就翻开了一个双向的通讯通道:
Access-Control-Allow-Origin: *.Httpsecure.org
Access-Control-Allow-Methods: OPTIONS, GET, POST, HEAD, PUT
Access-Control-Allow-Headers: X-custom
Access-Control-Allow-Credentials: true
在上面的呼应头中,榜首行界说了双向通讯通道,第二行界说了恳求能够运用OPTIONS, GET, POST, PUT, HEAD中的任何办法,第三行则是界说的呼应头,最终一行答应经过身份验证的资源进行通讯。
SOP与plugins:同源战略与插件
注释:假如在httpsecure.org:80装置插件,那么只能答应插件拜访httpsecure.org:80
因为不同的绕过办法,在Java,Adobe Reader,Flash,Silverlight中完成同源战略是非常苦楚的。大多数浏览器都运用他们自己的办法完成同源战略,假如处在同一个IP地址,一些Java版别会以为两个不同的域名运用同一个同源战略。这关于虚拟主机环境(多个域名运用同一个IP)来说或许是一个毁灭性的灾祸。
议论Flash player以及PDF reader插件,他们都有一个悠长的缝隙前史。这些缝隙大多数都是答应进犯者长途履行恣意代码,这远比同源战略绕过更可怕!
在Flash中,你能够经过crossdomain.xml办理跨源通讯,该文件一般在根目录下
xml version="1.0"?>
 permitted-cross-domain-policies="by-content-type"/>
 domain="*.httpsecure.org" />
运用这段代码的httpsecure.org子域能够完成站点的双向通讯,Crossdomain.xml还支撑Java以及JavaScript插件。
SOP与UI redressing:同源战略与界面假装
点击绑架(clickjacking)是一种在网页中将歹意代码等躲藏在看似无害的内容(如按钮)之下,并诱运用户点击的手法。该术语最早由雷米亚·格罗斯曼(Jeremiah Gros *** an)与罗伯特·汉森(Robert Hansen)于2008年提出。这种行为又被称为界面假装(UI redressing)。关于进犯者同源战略绕过,办法各有不同。事实上一部分进犯仍是使用同源战略没有履行。
Java同源战略绕过
在Java1.7u17版别和1.6u45版别中,假如两个主机名解析到同一个IP地址,那么就不会履行同源战略(Httpsecure.org和 httpssecure.com解析到同一个IP地址)。Java applet(是一种在Web环境下,运转于客户端的Java程序组件,每个Applet的功用都比较单一)能够处理跨院恳求和读取呼应信息。

[1] [2]  黑客接单网

相关文章

影视特效制作,俄罗斯国内黑客去哪里找,黑客非正常如何找资源

2019江苏第四季管帐从业-部分验证.exeimport flash.net.URLRequest;其他遥控操控杆的数据也十分相似,故不再赘述。 值得留意的是,一切26字节的遥控操控数据是一次性的发给...

网络赌博,通过支付宝转账了输了十几万有找回的方法吗

https://github.com/go-gitea/gitea/releases/tag/v1.7.6远程桌面服务成功利用此漏洞的攻击者可以在目标系统上执行任意代码。 然后攻击者可以安装程序; 查...

全国最大诚信黑客接单_国外怎么找黑客合作

这种办法中,关于给定的种子文件 S1,随机选取 chunk C1,随机选取种子文件 S2,找到 S2 中与 C1 类型相同的 chunk C2,将 C2 替换到 C1 的方位上。 · 一群欺诈者建立...

浅析PHP变量解析杂乱规矩语法

翻了良久前写过的关于php杂乱语法变量解析的文章,发现许多当地存在问题。因而又查阅文档从头了解了一遍该语法,谈谈个人的了解,并记载在此。   标题简析 一道很早之前的标题,代码(简化): $str=...

黑客接单是真的吗_黑客找百度贴吧ID-找黑客登录网站

要提到装置完结JDK后为啥还要装备一下环境变量,或许许多Java的初学者或许有学过Java的朋友或许都未必能够彻底的答复的上来。 其实,所谓的环境变量,就是在操作体系中一个具有特定姓名的目标,它包含了...

接单的黑客_可以找黑客黑美团吗

有在网络安全范畴中,猜测网络违法和歹意软件发展趋势好像现已成为了各大网络安全公司的传统了。 为了防止让咱们去阅览上百页的安全陈述,咱们专门整兼并总结了McAfee、Forrester、FiskIQ、卡...