Web会话安全指南

4510Surviving the Web: A Journey into Web Session Security0（扩展摘要）0Stefano Calzavara UniversitàCa’ Foscari Veneziastefano.calzavara@unive.it0Riccardo Focardi UniversitàCa’ Foscari Veneziafocardi@unive.it0Marco Squarcina UniversitàCa’ Foscari Veneziasquarcina@unive.it0Mauro Tempesta UniversitàCa’ Foscari Veneziatempesta@unive.it0摘要0我们调查了针对Web会话的最常见攻击，即针对与受信任的Web应用程序建立身份验证会话的诚实Web浏览器用户的攻击。然后，我们回顾了现有的安全解决方案，这些解决方案可以防止或减轻不同的攻击，通过评估它们在保护、可用性、兼容性和部署便利性四个不同方面的表现。基于这项调查，我们确定了五个指南，这些指南在不同程度上已经被我们审查的不同提案的设计者考虑到。我们相信，这些指南对于以更系统和全面的方式开展Web安全的创新解决方案的开发是有帮助的。0关键词0Web会话；HTTP cookie；Web攻击；Web防御0ACM参考格式：Stefano Calzavara，Riccardo Focardi，MarcoSquarcina和Mauro Tempesta。2018年。Surviving theWeb：Web会话安全之旅：（扩展摘要）。在WWW '18Companion：2018年Web会议伴侣，2018年4月23日至27日，法国里昂。ACM，纽约，美国，5页。https://doi.org/10.1145/3184558.318623201 引言0Web是访问在线数据和应用程序的主要入口。它非常复杂和多样化，因为它整合了来自不同方面的大量动态内容，以提供最佳的用户体验。这种多样性使得有效实施安全性非常困难，因为引入新的安全机制通常会导致现有网站无法正常工作，或者对用户体验产生负面影响，这通常被认为是不可接受的，考虑到Web的大量用户群体。然而，对可用性和向后兼容性的不断追求对Web安全研究产生了微妙的影响：新的防御机制的设计者非常谨慎，他们的大多数提案都是针对非常具体的攻击的非常局部的修补程序。这种零散的演进妨碍了对许多微妙的漏洞和问题的深入理解。0本文以知识共享署名4.0国际许可证（CC BY4.0）发布。作者保留在其个人和公司网站上传播作品的权利，并附上适当的归属。WWW'18 Companion，2018年4月23日至27日，法国里昂。© 2018IW3C2（国际万维网会议委员会），根据知识共享CC BY 4.0许可证发布。ACM ISBN978-1-4503-5640-4/18/04。https://doi.org/10.1145/3184558.31862320正如不同的威胁模型对不同的提案进行了评估，有时候基于相当不同的基本假设。在众多提出的解决方案中很容易迷失，几乎不可能在没有全面了解现有文献的情况下理解每个单独提案的相对优势和缺点。在这项工作中，我们承担了一个艰巨的任务，对当前Web及其相关的安全解决方案进行了系统概述。我们关注针对Web会话的攻击，即针对与受信任的Web应用程序建立身份验证会话的诚实Web浏览器用户的攻击。这种攻击利用Web的内在复杂性，通过篡改动态内容、客户端存储或跨域链接来破坏浏览器活动和/或网络通信。我们的选择是基于针对Web会话的攻击涵盖了严重Web安全事件的一个非常相关的子集，并且已经提出了许多不同的防御措施，这些措施在不同的层次上进行操作，以防止这些攻击。我们考虑典型的针对Web会话的攻击，并根据攻击者模型和它们破坏的安全属性对它们进行系统化。这种分类有助于准确了解某种攻击可以违反Web会话的哪些预期安全属性以及如何违反。然后，我们调查现有的安全解决方案和机制，以防止或减轻不同的攻击，并评估每个提案提供的安全保证。当安全性仅在某些假设下得到保证时，我们明确说明这些假设。对于每个安全解决方案，我们还评估其对兼容性、可用性以及部署的便利性的影响。这些是判断某个解决方案的实用性的重要标准，并且它们有助于了解每个解决方案在当前状态下在Web上是否可以大规模采用。此外，由于文献中有几个提案旨在提供针对多种攻击的强大保护措施，我们还对它们进行了概述。对于这些提案中的每一个，我们讨论了它在原始设计中考虑的攻击者模型下可以防止哪些攻击，并根据上述标准评估了它的适用性。最后，我们从我们的调查中综合出了五个指南的列表，这些指南在不同程度上已经被不同解决方案的设计者考虑到。我们观察到没有任何现有的提案符合所有指南，我们认为这是由于Web的高复杂性和固有的困难所致。0Track：Journal Papers WWW 2018，2018年4月23-27日，法国里昂4520在保护它方面提供了一些建议。我们相信这些指南对于以更系统和全面的方式处理Web安全的创新解决方案的开发可能是有帮助的。0期刊出版物参考。这个扩展摘要提供了与同名的已发表期刊论文的简要概述。我们参考原始出版物[8]获取完整细节。02 攻击Web会话0Web会话是浏览器和Web服务器之间的半永久信息交换，涉及多个请求和响应。由于HTTP是一种无状态协议，即每个请求都独立于其他所有请求处理，绝大多数Web应用程序使用Cookie来实现有状态的会话。当用户成功认证到网站时，服务器会生成一个新的Cookie并发送回浏览器。来自浏览器的进一步请求会自动包含Cookie作为基于密码的身份验证建立的会话的证明。Cookie在所有后续对Web服务器的请求中扮演密码的角色，因此只要泄漏其值就足以劫持会话并完全冒充用户，而不会危及网络连接或服务器。我们称任何标识Web会话的Cookie为身份验证Cookie。02.1 安全属性0我们考虑在Web会话设置中制定的两个标准安全属性。它们代表Web会话攻击的典型目标：0• 机密性：在会话中传输的数据不应被未经授权的用户披露；•完整性：在会话中传输的数据不应被未经授权的用户修改或伪造。0有趣的是，上述属性不是独立的，违反其中一个可能导致违反另一个。例如，破坏会话机密性可能会暴露身份验证Cookie，这将允许攻击者代表用户执行任意操作，从而破坏会话完整性。02.2 威胁模型0我们关注两类主要攻击者：Web攻击者和网络攻击者。Web攻击者控制至少一个Web服务器，该服务器以攻击者选择的任意恶意内容响应发送到它的任何HTTP(S)请求。我们假设Web攻击者可以为其控制的所有Web服务器获得受信任的HTTPS证书，并能够利用受信任网站上的内容注入漏洞。Web攻击者的稍微更强大的变体被称为相关域攻击者，还可以在与目标网站域共享“足够长”的后缀的域上托管恶意网页[5]。此附加功能允许攻击者为目标网站设置与合法站点设置的（域）Cookie无法区分的有效Cookie[3]。网络攻击者通过能够检查、伪造和破坏在网络上发送的所有HTTP流量以及使用不受信任证书的HTTPS流量来扩展传统Web攻击者的能力。02.3 攻击概述0我们现在提供对Web会话最重要的攻击的概述。对于每类攻击，我们报告违反的Web会话安全属性。02.3.1内容注入（XSS）。这类广泛的攻击允许网络攻击者将有害内容注入到受信任的Web应用程序中。内容注入可以通过许多不同的方式进行，但始终是由于Web应用程序中某些受攻击者控制的输入的不正确或缺失的过滤而启用的。这些攻击通常被归类为跨站脚本（XSS），即恶意JavaScript代码的注入；然而，缺乏适当的过滤也可能影响HTML内容（标记注入）甚至CSS规则[13,20]。内容注入攻击通常被分为反射型和存储型，取决于威胁的持久性。在反射型变体中，请求中提供的部分输入在响应中“反射”而没有经过适当的过滤。相反，存储型攻击是指注入的内容被永久保存在目标服务器上，例如出现在讨论板上的消息。然后，任何访问被攻击页面的浏览器都会自动解释恶意内容。由于内容注入允许攻击者绕过标准Web浏览器的基线安全策略（同源策略），因此它们可能对Web会话的机密性和完整性产生灾难性后果。具体而言，它们可以用于从受信任的网站窃取敏感数据，如身份验证Cookie和用户凭据，并主动破坏页面内容，以破坏Web会话的完整性。02.3.2跨站请求伪造（CSRF）。CSRF是Web浏览器环境中“困惑的代理”问题[12]的一个实例。在CSRF中，攻击者强制用户浏览器向已经建立了身份验证会话的网站发送HTTP(S)请求，例如通过在受攻击者托管的页面中包含一些标签来攻击易受攻击的网站。当渲染这些HTML元素时，浏览器将向目标网站发送HTTP(S)请求，这些请求会自动包含用户的身份验证cookie。从目标网站的角度来看，这些伪造的请求与合法请求无法区分，因此它们可以被滥用以触发危险的副作用，例如强制将资金转账到攻击者的账户。CSRF攻击允许攻击者向受信任的网站注入经过身份验证的消息，因此它对会话完整性构成威胁。较少人知道的是，CSRF还可以通过发送跨站请求来破坏机密性，这些请求返回与用户会话绑定的敏感用户数据，例如针对云服务SpiderOak的攻击[2]。02.3.3更多的攻击。其他较少知名的网络攻击包括登录CSRF、强制cookie和会话固定。我们在完整的调查报告[8]中对它们进行了解释，以及通过（部分）采用HTTP协议启用的传统网络攻击。03 保护Web会话0在本节中，我们介绍了用于评估文献和标准中提出的保护Web会话免受攻击的解决方案所采用的标准。我们还讨论了一些众所周知的解决方案。0Track: Journal Papers WWW 2018, April 23-27, 2018, Lyon, FranceHaving examined different proposals, we now identify five guide-lines for the designers of novel web security mechanisms. This isa synthesis of sound principles and insights which have, to differ-ent extents, been taken into account by all the designers of theproposals we surveyed.Track: Journal Papers WWW 2018, April 23-27, 2018, Lyon, France4530针对内容注入的防御方法，即 HttpOnly cookies 和CSP。在[8]中，我们讨论了超过40种解决方案，这些解决方案要么针对特定的网络攻击，要么试图提供更全面的保护措施来应对不同的威胁。03.1 评估标准0我们根据四个不同的维度评估现有的防御方法：0（1）保护：我们评估所提出的防御方法对于攻击的常规威胁模型的有效性。如果该提议不能在最一般的情况下防止攻击，我们将讨论在哪些假设下它仍然可能有效；（2）可用性：我们评估所提出的机制是否会影响最终用户的体验，例如通过影响浏览器的性能或者要求用户参与安全决策；（3）兼容性：我们讨论防御方法在与当前标准、网站的预期功能以及现代网络基础设施提供的性能方面如何与Web生态系统整合。例如，那些阻止某些网站正常工作的解决方案与现有的Web不兼容。另一方面，对于不会破坏向后兼容性的标准协议的轻微扩展是可以接受的；（4）部署的便利性：我们考虑通过评估Web开发人员和系统管理员为采用防御解决方案所需的整体工作量来评估大规模部署的实际可行性。03.2 针对内容注入的两种防御方法03.2.1 HttpOnly Cookies. HttpOnly cookies是在2002年随InternetExplorer 6SP1发布的，用于防止通过内容注入攻击窃取身份验证cookie。这个简单而有效的机制在所有主要浏览器上都可用，它将cookie的范围限制在HTTP(S)请求中，使其对于受信任页面中注入的恶意JavaScript不可用。HttpOnly属性提供的保护仅限于防止身份验证cookie的盗窃。该属性对用户来说是透明的，因此对可用性没有影响。此外，该属性在与遗留Web浏览器的兼容性方面完全符合Web生态系统的要求，因为未知的cookie属性会被忽略。最后，该解决方案易于部署，假设没有出于通用原因需要通过JavaScript访问身份验证cookie[21]。03.2.2内容安全策略。内容安全策略（CSP）[16]是由W3C标准化的Web安全策略，允许指定浏览器允许从中获取嵌入在Web页面中的资源的来源。该策略通过HTTP头部向浏览器传递，并且相当细粒度，允许区分不同类型的资源，如JavaScript、CSS和XHR目标。默认情况下，CSP不允许内联脚本和CSS指令（可用于数据泄漏）以及使用特别有害的JavaScript函数（例如eval）。然而，可以使用unsafe-inline和unsafe-eval规则来禁用这些约束。引入CSP Level 2[17]后，可以有选择地将内联资源列入白名单，而不允许不加区别的内容执行。当正确配置时，CSP提供了有效防御XSS攻击的方法。然而，一般的内容注入攻击无法预防。CSP策略由Web开发人员编写，并对用户透明，因此其设计支持可用性。CSP的兼容性和部署成本应该一起评估。一方面，编写一个非常宽松的策略非常容易，允许内联脚本的执行，并对跨源通信施加轻微限制：这确保了兼容性。另一方面，对于传统应用程序来说，有效的策略可能很难部署，因为应该删除或手动列入白名单内联脚本和样式，并且应该仔细确定内容包含的受信任来源[18]。目前，CSP的部署并不特别重要或有效[9,19]。也就是说，W3C对CSP的标准化表明，这种防御机制在许多网站上部署起来并不太困难，至少可以获得一些有限的保护。0在研究了不同的提案后，我们现在为新型Web安全机制的设计者确定了五个指导原则。这是对所有我们调查的提案的设计者都考虑到的合理原则和见解的综合。04 视角04.1 指南04.1.1透明度。我们将透明度定义为高可用性和完全兼容性的结合：我们认为这是确保Web上任何防御性解决方案大规模部署的最重要因素，考虑到其庞大的用户群和异质性。众所周知，安全性往往以可用性为代价，而可用性缺陷最终削弱了安全性，因为用户会采取停用或绕过可用的保护机制[15]。Web非常多样化，即使是小的变化也会使其出乎意料地脆弱：不希望采用新的防御技术的Web开发人员应该能够这样做，而当这些Web应用程序由安全增强的Web浏览器访问时，其语义不会有任何可观察的变化；同样，不愿意更新Web浏览器的用户应该能够无缝地浏览实施了不受其浏览器支持的尖端安全机制的网站。所有的安全决策最终必须由Web开发人员来做出。一方面，用户不愿意或没有专业知识参与安全决策。另一方面，浏览器供应商很难提供“一刀切”的解决方案，不会破坏任何网站。而有动机的Web开发人员可以完全了解他们的Web应用程序语义，对新提案进行彻底测试并配置它们以支持兼容性。04.1.2设计安全性。支持当前Web和传统Web应用程序是必不可少的，但新网站的开发人员应该提供工具，使他们能够实现安全设计的应用程序。我们的感觉是，追求向后兼容性往往会阻碍实际改进新Web应用程序开发过程的工具的创建。Track: Journal Papers WWW 2018, April 23-27, 2018, Lyon, France4540事实上，向后兼容性通常与已知问题的特定修补程序相关联，现有网站的开发人员可以轻松地将其插入到实现中以进行改进。结果是，使用当前技术开发安全的Web应用程序是一项费时的任务，涉及许多不同层面的操作。开发人员应该提供工具和方法，使他们能够从开发过程的最初阶段考虑安全性。这必然意味着偏离许多当前技术所提倡的低级解决方案，而是更加关注Web应用程序的更高级别安全方面，如主体的定义及其信任关系，敏感信息的识别等。04.1.3采用的便利性。服务器端解决方案应该要求Web开发人员付出有限的努力来理解和采用。例如，使用自动实现推荐的安全实践的框架可以显著简化新安全应用程序的开发，这些实践通常被Web开发人员忽视。对于客户端解决方案，重要的是当它们安装在用户浏览器中时能够立即使用：不完全自动化的提案将被忽视或滥用。涉及客户端和服务器的任何防御性解决方案都受到前述观察的影响。由于单一的保护机制无法满足所有安全需求，因此设计防御性解决方案时必须与已经解决了正交问题并可能已被Web开发人员采用的现有提案进行良好的交互。04.1.4声明性特性。为了支持大规模部署，新的防御解决方案应具有声明性特性：Web开发人员应该能够访问适当的策略规范语言，但是策略的执行不应该是他们的关注点。安全检查不应与Web应用程序逻辑混合在一起：理想情况下，不应对Web应用程序进行任何代码更改以使其更安全，并且不需要对Web应用程序代码有深入的理解就可以提出合理的安全策略。这是由非常实际的需求决定的：现有的Web应用程序庞大而复杂，通常使用不同的编程语言编写，并且Web开发人员可能无法完全控制它们。04.1.5形式化规范和验证。最近已经将形式化模型和工具应用于Web会话安全的新提案的规范和验证[1, 4, 7,10]。虽然形式化规范对于Web开发人员可能没有用处，但它有助于安全研究人员理解所提出解决方案的细节。从形式化规范开始，Web安全设计人员可以通过执行清晰的语义安全属性（例如非干扰性[11]或会话完整性[7]）来驱动，而不是通过提供针对当前针对Web的众多低级攻击的临时解决方案的愿望。这不仅仅是一种理论练习，而且具有明显的实际效益。首先，它可以全面识别可能用于违反预期安全属性的所有攻击向量，从而使设计过程中不会遗漏微妙的攻击。其次，它迫使安全专家专注于严格的威胁模型，并准确陈述所有的0他们提出的假设：这有助于对不同解决方案进行批判性比较，并简化可能的集成。第三，更具推测性的是，针对属性而不是机制的目标可以更好地理解安全问题，从而促进安全机制的部署，使其更完整且更易于Web开发人员使用。04.2 讨论0回顾我们所审查的解决方案，我们发现了一些精心设计的提案，符合我们提出的几个指南。然而，令人惊讶的是，没有一个提案符合所有的指南。我们认为这不是指南本质上的固有特点，而是Web安全本身的困难所导致的：事实上，在针对世界上最大的分布式系统时，必须考虑许多不同级别的不同问题。在调查的完整版本[8]中，我们讨论了Web平台最独特的挑战以及它们如何推动Web安全研究的发展。我们还使用我们的指南来倡导采用混合客户端/服务器设计作为新型Web安全解决方案的最有效架构，并建议在设计过程的最初阶段使用形式化方法。一项最新的调查讨论了为什么以及如何将形式化方法应用于Web安全，并强调了开放的研究方向[6]。对于Web会话安全的强大解决方案的追求还远未结束：我们参考[8]以讨论值得研究的开放问题和新的研究方向。05 结论0我们回顾了对Web会话的不同攻击，并调查了最流行的解决方案。对于每个解决方案，我们讨论了它对不同攻击者模型的安全保证，对可用性和兼容性的影响，以及部署的便利性。然后，我们根据以往经验总结了五个开发新的Web安全解决方案的指南。我们相信这些指南可以帮助Web安全专家提出更有效且适合大规模采用的新颖解决方案。0参考文献0[1]  Devdatta Akhawe, Adam Barth, Peifung E. Lam, John C. Mitchell, and DawnSong. 2010. 朝着Web安全的形式基础. 在第23届IEEE计算机安全基础研讨会（CSF2010）论文集中. 290–304. [2]  Chetan Bansal, Karthikeyan Bhargavan, AntoineDelignat-Lavaud, and Sergio Maffeis. 2013.云端的关键：加密Web存储的形式分析和具体攻击.在第2届国际安全与信任原理会议（POST 2013）论文集中. 126–146. [3]  Adam Barth.2011. HTTP状态管理机制. http://tools.ietf.org/ html/rfc6265. (2011). [4]  AaronBohannon and Benjamin C. Pierce. 2010. 轻量级Firefox：对Web浏览器核心的形式化.在Web应用开发USENIX会议（WebApps 2010）中. [5]  Andrew Bortz, Adam Barth,and Alexei Czeskis. 2011. 源Cookies：Web应用程序的会话完整性. 在Web2.0安全与隐私研讨会（W2SP 2011）中. [6]  Michele Bugliesi, Stefano Calzavara, andRiccardo Focardi. 2017. Web安全的形式方法. 逻辑与代数方法在编程中的期刊  87(2017), 110–126.[13] Mario Heiderich, Marcus Niemietz, Felix Schuster, Thorsten Holz, and JörgSchwenk. 2012. Scriptless Attacks: Stealing the Pie Without Touching the Sill.In Proceedings of the 19th ACM Conference on Computer and CommunicationsSecurity, CCS 2012. 760–771.[14] OWASP. 2013. Top 10 Security Threats. https://www.owasp.org/index.php/Top_10_2013-Top_10. (2013).[15] Mary Frances Theofanos and Shari Lawrence Pfleeger. 2011. Guest Editors’Introduction: Shouldn’t All Security Be Usable? IEEE Security & Privacy 9, 2(2011), 12–17.[16] W3C. 2012. Content Security Policy. http://www.w3.org/TR/CSP/. (2012).[17] W3C. 2015. Content Security Policy Level 2. https://www.w3.org/TR/CSP2/.(2015).[18] Joel Weinberger, Adam Barth, and Dawn Song. 2011. Towards Client-side HTMLSecurity Policies. In 6th USENIX Workshop on Hot Topics in Security, HotSec 2011.[19] Michael Weissbacher, Tobias Lauinger, and William K. Robertson. 2014. Why IsCSP Failing? Trends and Challenges in CSP Adoption. In Proceedings of the 17thInternational Symposium on Research in Attacks, Intrusions and Defenses, RAID2014. 212–233.[20] Michal Zalewski. 2011. Postcards From the Post-XSS World. (2011).http://lcamtuf.coredump.cx/postxss/.[21] Yuchen Zhou and David Evans. 2010. Why Aren’t HTTP-only Cookies MoreWidely Deployed?. In Web 2.0 Security and Privacy Workshop, W2SP 2010.4550[7]  Michele Bugliesi, Stefano Calzavara, Riccardo Focardi, Wilayat Khan, and MauroTempesta. 2014. 可证明安全的基于浏览器的Web会话完整性强制执行.在第27届IEEE计算机安全基础研讨会（CSF 2014）论文集中. 366–380. [8]  StefanoCalzavara, Riccardo Focardi, Marco Squarcina, and Mauro Tempesta. 2017.在Web上生存：一次Web会话安全之旅.  ACM计算机调查  50, 1 (2017), 13:1–13:34. [9]Stefano Calzavara, Alvise Rabitti, and Michele Bugliesi. 2016.内容安全问题？评估内容安全策略在实际中的有效性.在第23届ACM计算机与通信安全会议（CCS 2016）论文集中. 1365–1375. [10]  DanielFett, Ralf Küsters, and Guido Schmitz. 2014.Web基础设施的表达模型：定义和应用于浏览器ID SSO系统.在第35届IEEE安全与隐私研讨会（S&P 2014）论文集中. 673–688. [11]  Willem DeGroef, Dominique Devriese, Nick Nikiforakis, and Frank Piessens. 2012.FlowFox：一种具有灵活和精确信息流控制的Web浏览器.在第19届ACM计算机与通信安全会议（CCS 2012）论文集中. 748–759. [12]  NormanHardy. 1988. The Confused Deputy（或者为什么可能发明了能力）。操作系统评论  22,4 (1988), 36–38.0会议论文: Journal Papers WWW 2018, 2018年4月23日至27日, 法国里昂