互联网公司通用 XSS 解决方案探 讨 百度
自我介绍 暗夜潜风 /d4rkwind 百度 高级安全工程师 mere#vip.qq.com
提纲 问题现状 解决思路 付诸实践 经验总结
我们遇到什么样的问题现状? 问题现状
问题现状 —— 数量足够多
问题现状 ——“ 新型 ” 攻击手法普及
移动 / 云 前项收费 …… 问题现状 —— 战略必须拥有安全保障
解决当前问题,我们的思路是什么? 解决思路
避免出现 开发环节安全保障 测试环节安全保障 及时发现 自行发现 主动获取 降低危害 保护重要系统 保护认证会话 解决思路
基于上述思路,如何付诸实践? 付诸实践
付诸实践 —— 开发环节 发布规范 场景 方案 调研模板 种类 比例 开发工具 覆盖度 准确率 嵌入流程 覆盖度 可实施性
付诸实践 —— 测试环节 扫描工具 准确率 速度 扫描平台 稳定 API 嵌入流程 覆盖度 可实施性
例行安全扫描 流量 / 日志挖掘 付诸实践 —— 自行发现 全流量 URL 库 扫描工具 / 平台 运维平台 日志挖掘
sec.baidu.com 付诸实践 —— 主动获取 Wooyun 安全响应中心
重要系统免受其他系统影响:统一登录分散认证 重要系统自身免受 XSS 影响: CSP 响应头设置 付诸实践 —— 保护重要系统 unsafe. baidu.com important. baidu.com passport. baidu.com BDUS S 容易被盗 Passport.baidu.com unsafe import ant othera otherb
保护认证会话:会话 HttpOnly 化 付诸实践 —— 保护认证会话 PC 端测试 WAP 端测试 数据证明 代码库排查 产品线排查修 复 排查修复 小流量上线 全流量上线 上线
我们近年得到的一些经验总结 经验总结
经验总结 —— 选准对象,把握推动顺序 HttpOnly CSP 统一登录 分散认证 模板安全 完美方案?
背景: Important.baidu.com Passport.baidu.com Unsafe.baidu.com 统一登录分散认证
核心思想: BDUSS+STOKEN , BDUSS 共用, STOKEN 分散在重要产 品线 统一登录分散认证
背景: 模板代码自动化安全检查 变量输出场景安全转义方法 HTML 标签中或标签属性值中 HTML 编码 HTML 标签链接属性值中 URL 编码 HTML 标签事件属性值中 Javascript 转义 +HTML 编码 Script 标签中 Javascript 转义 Json 数据中 HTML 编码 +Javascript 转义 Callback 回调函数名 Callback 转义 其他禁止
效果: 模板代码自动化安全检查
现场演示: 模板代码自动化安全转义
广告 —— 百度安全团队欢迎您~ hr.baidu.com
Thanks Q&A