编者按:很多人认为,互联网在传递信息的同时也传递着威胁和安全隐患。而Web网站24小时在互联网上开放某些端口、提供相关服务,同时,全球的Web站点不胜枚举、应有尽有。所以,Web网站也成为最容易被攻击者利用的目标。本期的两篇文章,一篇是关于浏览器的内容安全策略头(CSP,Content Security Policy)的技术文章,另一篇则是企业对Web安全网关的应用案例,两个侧面、两个维度,为读者提供应对普遍存在,甚至就发生在身边的Web安全威胁的思路。
2013年11月,Veracode给出的报告指出,全球前一百万个网站中仅有269个网站使用了W3C规范的内容安全策略头(CSP,Content Security Policy)。ZoomEye在2014年2月给出的测试报告中,中国排名前7千的域名没有使用CSP的,国内1000的域名(含子域名)中仅发现7个使用了CSP策略,其中还有3个网站CSP出现语法使用错误。
如果说CSP是一个伟大的安全策略,为何全球范围内网站使用率如此之低?是CSP自身的设计存在问题,还是网站管理员们没有去充分了解和利用它?CSP到底是一个什么样的安全策略,是像人们普遍说的它是XSS攻击的终结者吗?
带着以上的疑问,本文将从CSP的概念、发展时间轴、语法使用、如何正确部署CSP、CSP的自有特性、如何利用CSP产生攻击报告、CSP当前使用率、Bypass CSP等众多方面,来给大家全面介绍CSP这个伟大而又被忽视的安全策略。
CSP是以可信白名单作机制,限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码(
内联事件
内联样式
虽然CSP中已经对script-src和style-src提供了使用“unsafe-inline”指令来开启执行内联代码,但为了安全起见还是慎用“unsafe-inline”。
2.EVAL相关功能被禁用
用户输入字符串,然后经过eval()等函数转义,进而被当作脚本去执行。这样的攻击方式比较常见。于是乎CSP默认配置下,eval(),newFunction(),setTimeout([string], ...)和setInterval([string], ...)都被禁止运行。
比如:
alert(eval("foo.bar.baz"));
window.setTimeout("alert('hi')", 10);endprint
window.setInterval("alert('hi')", 10);
new Function("return foo.bar.baz");
如果想执行可以把字符串转换为内联函数去执行。
alert(foo && foo.bar && foo.bar.baz);
window.setTimeout(function() { alert('hi'); }, 10);
window.setInterval(function() { alert('hi'); }, 10);
function() { return foo && foo.bar && foo.bar.baz };
同样CSP也提供了“unsafe-eval”去开启执行eval()等函数,但强烈不建议使用“unsafe-eval”这个指令。
CSP例子
例子1:网站管理员想要所有的内容均来自网站自己的域,不包括子域。
Content-Security-Policy: default-src 'self‘
例子2:网站管理员想要所有的内容来自网站自己的域,还有其他子域的内容。
Content-Security-Policy: default-src
'self' *.mydomain.com
例子3:网站管理员想要网站接受信任任意域的图像,指定域的音频视频和指定域的脚本。
Content-Security-Policy: default-src 'self'; img-src *;
media-src media1.com media2.com;
script-src userscripts.example.com
在这条策略中,默认情况下,网站只允许加载自己域的内容,但也有例外:
img-src * 使用*通配符可以加载任意域的图片。
media-src media1.com media2.com 视频音频只允许加载这两个域的
script-src userscripts.example.com 脚本只能加载
userscripts.example.com 域的
例子4 :网站管理员确保在线银行所有内容都通过SSL加载,确保信息不会被截获。
Content-Security-Policy: default-src
https://onlinebanking.jumbobank.com
例子5 :github.com上的真实CSP例子。Github允许加载任何域的内容,但只能加载指定域的脚本,只能加载指定域的样式并可以执行内联样式,只能通过SSL加载指定域的flash插件。
Content-Security-Policy:default-src *;
script-src 'self'
https://github.global.ssl.fastly.net
https://ssl.google-analytics.com
https://collector-cdn.github.com
https://embed.github.com
https://raw.github.com;
style-src 'self' 'unsafe-inline'
https://github.global.ssl.fastly.net;
object-src https://github.global.ssl.fastly.net
在线CSP编写,可以协助和帮助网站管理员编写出适合自己站点的CSP,请参考http://cspisawesome.com/。
CSP的错误使用
CSP的语法和指令其实并不复杂,但如果没有充分了解网站业务和安全需求,错误的使用CSP则会适得其反。
(1)笔者在2013年底访问http://www.grosshandel-hahn.de/,发现CSP策略明显使用错误。该网站使用了X-Content-Security-Policy-Report-Only。此头的意思是让浏览器只汇报日志,不阻止任何内容。但这条策略里却没有给出接收信息日志的地址。
(2)Content-Security-Policy: default-src https:; frame-src test.com;。这个策略方案是有问题的,此头限制https以外的所有资源,但又允许iframe通过http进行加载。现实中,这样的场景应该很难出现。
CSP分析报告
对于网站管理员来说,CSP的一个强大功能是它可以产生试图攻击你网站的分析报告。你可以用report-uri指令使浏览器发送HTTP POST请求把攻击报告以JSON格式传送到你指定的地址。接下来给大家介绍你的站点如何配置来接收攻击报告。
启用报告
默认情况下,违规报告不会发送。为了能使用违规报告,你必须使用report-uri指令,并至少提供一个接收地址。
Content-Security-Policy: default-src self; report-uri http://reportcollector.example.com/collector.cgi
如果想让浏览器只汇报报告,不阻止任何内容,可以改用Content-Security-Policy-Report-Only头。endprint
违规报告语法
该报告JSON对象包含以下数据:
blocked-uri:被阻止的违规资源
document-uri:拦截违规行为发生的页面
original-policy:Content-Security-Policy头策略的所有内容
referrer:页面的referrer
status-code:HTTP响应状态
violated-directive:违规的指令
CSP的使用率统计
CSP全球范围使用率非常低,而且增加也非常缓慢。而使用Content-Security-Policy-Report-Only进行单独接收攻击报告的网站只有24个。统计中也指出,发现大量网站使用unsafe-inline这个指令,分析其原因可能是由于开发人员很难在页面中彻底消除内联脚本,这很让人失望,所以只能要求制定的CSP策略更加严谨。
对于国内网站使用CSP的情况,笔者委托ZoomEye对此进行了统计。2014年2月发来的统计结果在非常不乐观。根据ZoomEye的统计:国内排名前7000的域名没有使用CSP,国内1000万的域名(含子域名)中发现7个使用了CSP策略,其中还有3个网站CSP语法使用错误。7个域名中3个是知乎网,值得表扬。7个域名列表如下:
www.zhihu.com
www.zhi.hu
zhimg.com
www.applysquare.com
www.pipapai.com CSP语法错误
www.icyprus.cn CSP语法错误
www.uyitec.cn CSP语法错误
在网站安全防御方面,我们还要有很长的路要走。虽然CSP安全策略头只是网站安全整体防御中的一小部分,但合理的利用还是可以起到很好的防护作用。然而在我们分析的百万网站中,CSP的使用率极其低,从这一点来说CSP在中国应该广泛对网站管理员进行科普。
CSP Bypass
一个安全策略从诞生开始将会时不时有一个叫“Bypass”的小伙伴跟随左右。而从辩证角度来讲,多加载一种安全策略,就多了一种Bypass的维度。一旦Bypass出现,就意味着将有一种设计者没有考虑到的方法或技巧,将破坏策略的原有规则。
CSP亦是如此,在一次次被绕过然后在一次次修复过程中,来完善自己的语法和指令。
CSP总结
充分了解CSP安全策略的语法和指令,并最大程度地合理利用和部署这些策略,努力把安全策略发挥到极致,使其最终把危害降低到最低。
CSP并不能消除内容注入攻击,但可以有效地检测并缓解跨站攻击和内容注入攻击带来的危害。
CSP不是作为防御内容注入(如XSS)的第一道防线而设计,而最适合部署在纵深防御体系中。
至于为什么CSP的使用率如此之低,究其原因,CSP虽然提供了强大的安全保护,但是它也造成了如下问题:Eval及相关函数被禁用,内嵌的JavaScript代码将不会执行,只能通过白名单来加载远程脚本。这些问题阻碍了CSP的普及。如果要使用CSP技术保护自己的网站,开发者就不得不花费大量时间分离内联的JavaScript代码和做一些调整。
没有被绕过的策略不是好的策略,从辩证角度来讲,多加载一种安全策略,就多了一种Bypass的维度。在安全领域的“Bypass”是一个曼妙而鬼魅的名字。
应该把CSP安全策略视为是一把可以直插心脏的锋利的尖刀,而不是一根电线杆子杵在那。
(文章有删减,浏览本文完整版请登录中国计算机行业网www.ciw.com.cn查询。)endprint