我已经起草了一些关于对抗性攻击审查的基本规则。我试图涵盖以下主题:
- 链接到我要强制执行的政策。
- 如果证明很麻烦,请链接到最小的测试平台和安装说明。
- 关于如何演示攻击的一些建议。
- 攻击者可能获得什么。
- 什么是越界的——如果受到攻击,不会导致信用的事情。
- 如何披露漏洞、声明信用等。
- 指向论坛以获取更多问题。
像这样的文件应该涵盖什么?有什么我应该添加或省略的吗?
我的具体草稿(上面的链接)中的哪些内容令人困惑,考虑不周,或者只是愚蠢的?
攻击审查的基本规则应包括哪些内容?
信息安全
Web应用程序
攻击
渗透测试
审计
2021-08-29 01:23:12
1个回答
我认为你的文件很棒。
如果你强迫我批评某事,我会提两件事:
理解你想要执行的策略需要做一些事情:它需要阅读一堆代码和正则表达式。我不知道这是否可以避免。
攻击场景似乎有点有限。基本规则似乎没有涵盖经过净化的 HTML 片段(例如,来自 eBay 卖家)与一些受信任的 HTML(来自 eBay 本身)组合在一起以形成 HTML 文档的情况,并且没有说明哪些安全属性在这种情况下必须强制执行。例如,在这种情况下,读者被迫猜测您是否试图保护页面其余部分的机密性。如果经过净化的 HTML 片段能够以某种方式发现存储在同一文档中的其他机密的值(例如,在文档的受信任部分的隐藏表单参数中发现的 CSRF 令牌)并泄露它,那是一种攻击吗?我怀疑是的,是的。
但这些都是次要的批评,我认为发布的基本规则非常好。
其它你可能感兴趣的问题