Live :如何利用浏览器”挖矿”?

2018-10-28 00:05:42 +08:00
 Twosecurity

二向箔安全的第三期 Live 马上就要开始了~这次 Live 内容是对 ServiceWorker 进行安全探索; Live 主讲人是来自阿里巴巴的 EtherDream,EtherDream 是阿里巴巴安全工程师,从事 Web 安全相关的研发,专注浏览器前端技术,爱好网络安全,探索各种黑科技。在安全防御方面有着更大的兴趣,研发过多种基于 Web 前端的防御系统。本次分享在讲解攻击的同时,也会讲解一些新理念的防御思路。下面让我们来看看内容预告吧~


关于 ServiceWorker:

ServiceWorker 的出现,为前端开发提供了更多的技术支持,使 Web APP 具有 Native APP 的离线使用、消息推送、默认更新等功能,并给前端安全增添了不少新玩法。

PS: https://mdn.github.io/sw-test/ 这是一个在线 ServiceWorker 的 Demo,可以通过 chrome 浏览器开发人员选项勾选 Network 中 offline 来查看控制台 Console 帮助未接触过的同学快速理解 ServiceWorker。

作为一段独立于页面运行在浏览器后端的脚本。使用 Service Worker 来进行缓存,可以用 javascript 代码来拦截浏览器的请求,设置缓存文件,不经服务器直接返回。SW 工作原理基于注册、安装、激活等步骤,我们需要了解它的生命周期以至于帮助我们学会在各个生命周期阶段进行有目的的回调。

从安全角度来看不难想到可能带来的一些问题,如:基于 SW 的 XSS+JSONP 相当于持久化 XSS、DDos、流量盗用、基于 SW 构造僵尸网络结合 CSRF 扩大影响范围、新型 Flash 攻击、SW 缓存劫持。

对于防御基于 SW 的 XSS 可采取 CSP、域内不存在 XSS 及用户可控的 JS 文件、JSONP 接口应只允许特定字符 or 白名单。


Live 内容预告:



开讲时间:

于 2018 年 11 月 4 号晚上 8 点给大家倾情讲解~


报名方式:

1978 次点击
所在节点    推广
2 条回复
RHFS
2018-10-28 10:42:38 +08:00
很奇怪一个回复都没有
congeec
2018-10-28 11:10:08 +08:00
@Livid /go/推广

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/501803

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX