【PPT分享】清华大学郑晓峰: 端到端安全协议的威胁、演进和部署

1月19日,在清华大学举办的网络安全研究国际学术论坛InForSec 2019年年会上,清华大学郑晓峰带来了《端到端安全协议的威胁、演进和部署》的主题报告。

郑晓峰 清华大学

演讲主题:We Still Don’t Have Secure Cross-Domain Requests: an Empirical Study of CORS→PPT下载

内容摘要:出于安全的目的,Web浏览器的同源策略(Same Origin Policy)限制了跨域的网络资源访问。然而,开发者由于业务的需要许多时候必须访问跨域的资源。跨域资源共享CORS(Cross-Origin Resource Sharing)是目前解决跨域资源访问的最为正规的方案,也得到了所有主流浏览器、许多热门Web网站的支持。该报告发现CORS的设计、实现与现实网络中的配置都存在大量的安全问题。该报告对现实世界的CORS所做的大规模实证研究,发现攻击者利用CORS安全漏洞可以绕过防火墙攻击内网二进制服务、利用之前不可利用的CSRF漏洞和获取任意网站敏感的Cookie信息等。此外,还对Alex 排名5万的域名下的9千多万网站进行了大规模的测量,发现支持CORS的网站中有27.5%的网站存在配置安全风险,其中包括mail.ru、fedex.com、washingtonpost.com以及国内知名的网站和搜索引擎。最后,对CORS的设计和部署提出了改进建议以降低风险,并介绍开发的一个Web服务器CORS配置的漏洞扫描器。

 

Bookmark the permalink.

Comments are closed.