第一章. Web安全
1.1 安全三要素(CIA)
- 机密性(Confidentiality)
- 完整性(Integrity)
- 可用性(Availability)
1.2 威胁分析(STRIDE)
- 伪装(Spoofing)
- 篡改(Tampering)
- 抵赖(Repudiation)
- 信息泄露(InformationDisclosure)
- 拒绝服务(Denial of Service)
- 提升权限(Elevation of Privilege)
1.3 风险分析
Risk = Probability * Damage Potential
第二章. 浏览器安全
2.1 同源策略
限制来自不同源的“document”和脚本对当前“document”进行读取或设置某些属性。
2.2 浏览器沙箱
Sandbox即沙箱,是泛指“资源隔离类模块”的代名词。Sandbox设计的目的一般是为了让不可信任的代码运行在一定的环境中,限制不可信任的代码访问隔离区之外的资源。
2.3 恶意网址拦截
恶意网址分为两种:
- 挂马网站
这类网站通常包含恶意的脚本,通过利用浏览器的漏洞执行shellCode,在用户电脑中植入木马。
- 钓鱼网站
通过模仿知名网站的相似页面来欺骗用户。
防范措施
- 推送恶意网址黑名单
- 开始支持EV SSL证书
网友评论