少女祈祷中⋯⋯ 收藏本站
登陆 / 注册 搜索

阅读: 4.5K   回复: 2

[# 网络安全] 信任与信任关系

小执念 古黑浩劫论坛大牛 2015-12-2 06:49 |显示全部楼层

可遇不可求的事:故乡的云,上古的玉,随手的诗,十九岁的你。

管理员
  其实安全的攻防都是围绕“信任”进行的。前面提到的同源策略也是信任的一种表现,默认情况下,不同源则不信任,即不存在什么信任关系,这都是出于安全的考虑。

  下面介绍两个“信任”的场景。

  1.场景一

  一个 Web 服务器上有两个网站A 与B,黑客的入侵目标是A,但是直接入侵A 遇到了巨大阻碍,而入侵B 却成功了。由于网站A 与B 在同一个Web 服务器上,且在同一个文件系统里,如果没进行有效的文件权限配置,黑客就可以轻而易举地攻克网站A。

  这里暴露的缺陷是:A 与B 之间过于信任,未做很好的分离。

  安全类似木桶原理,短的那块板决定了木桶实际能装多少水。一个Web 服务器,如果其上的网站没做好权限分离,没控制好信任关系,则整体安全性就由安全性最差的那个网站决定。

  2.场景二

  很多网站都嵌入了第三方的访问统计脚本,嵌入的方式是使用<script>标签引用,这时就等于建立了信任关系,如果第三方的统计脚本被黑客挂马,那么这些网站也都会被危及。

  这个现象非常普遍,且这种形式的挂马攻击也发生过好几起。你的网站本身是很安全的,由于嵌入了第三方内容,从而导致网站不安全,虽然这样不会导致你的网站直接被入侵,但却危害到了访问你网站的广大用户。

  这种信任关系很普遍,服务器与服务器、网站与网站、Web 服务的不同子域、Web 层面与浏览器第三方插件、Web 层面与浏览器特殊API、浏览器特殊API 与本地文件系统、嵌入的Flash 与当前DOM 树、不同协议之间,等等。一个安全性非常好的网站有可能会因为建立了不可靠的信任关系,导致网站被黑。


一起一伏 「龙战于野」 2018-5-1 14:36 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

高手云集 果断围观#j327:
梦纸 「出类拔萃」 2018-5-7 12:54 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

好,很好,非常好!
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2021-1-20 02:51 , Processed in 0.026510 second(s), 24 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表